Dlink Wikia
Основы коммутации Эволюция локальных сетей Эволюция локальных сетей неразрывно связана с историей развития технологии Ethernet, которая по сей день остается самой распространенной технологией локальных сетей. Первоначально технология локальных сетей рассматривалась как экономичная технология, обеспечивающая совместное использование данных, дискового пространства и дорогостоящих периферийных устройств. Снижение стоимости персональных компьютеров и периферии привело к их широкому распространению в бизнесе, и количество сетевых пользователей резко возросло. Одновременно изменились архитектура приложений (клиент/сервер) и их требования к вычислительным ресурсам, а также архитектура вычислений (распределенные вычисления). Стал популярным downsizing (разукрупнение) – перенос информационных систем и приложений с мэйнфреймов на сетевые платформы. Все это привело к смещению акцентов в использовании сетей:они стали обязательным инструментом в бизнесе, обеспечив наиболее эффективную обработку информации. В первых сетях Ethernet (10Base-2 и 10Base-5) использовалась шинная топология, когда каждый компьютер соединялся с другими устройствами с помощью единого коаксиального кабеля, используемого в качестве среды передачи данных. Сетевая среда была разделяемой и устройства, прежде чем начать передавать пакеты данных, должны были убедиться, что она свободна. Несмотря на то, что такие сети были простыми в установке, они обладали существенными недостатками, заключающимися в ограничениях по размеру, функциональности и расширяемости, недостаточной надежности, а также неспособностью справляться с экспоненциальным увеличением сетевого трафика. Для повышения эффективности работы локальных сетей требовались новые решения. Следующим шагом стала разработка стандарта 10Base-T с топологией типа «звезда», в которой каждый узел подключался отдельным кабелем к центральному устройству – концентратору (hub). Концентратор работал на физическом уровне модели OSI и повторял сигналы, поступавшие с одного из его портов на все остальные активные порты, предварительно восстанавливая их. Использование концентраторов позволило повысить надежность сети, т.к. обрыв какого-нибудь кабеля не влек за собой сбой в работе всей сети. Однако, несмотря на то, что использование концентраторов в сети упростило задачи ее управления и сопровождения, среда передачи оставалась разделяемой (все устройства находились в одном домене коллизий). Помимо этого общее количество концентраторов и соединяемых ими сегментов сети было ограничено из-за временных задержек и других причин. Задача сегментации сети, т.е. разделения пользователей на группы (сегменты) в соответствии с их физическим размещением с целью уменьшения количества клиентов соперничающих за полосу пропускания была решена с помощью устройства, называемого мостом (bridge). Мост был разработан компанией Digital Equipment Corporation (DEC) в начале 1980-х годов и представлял собой устройство канального уровня модели OSI (обычно двухпортовое), предназначенное для объединения сегментов сети. В отличие от концентратора, мост не просто пересылал пакеты данных из одного сегмента в другой, а анализировал и передавал их только в том случае, если такая передача действительно была необходима, то есть адрес рабочей станции назначения принадлежал другому сегменту. Таким образом, мост изолировал трафик одного сегмента от трафика другого, уменьшая домен коллизий и повышая общую производительность сети. Однако мосты были эффективны лишь до тех пор, пока количество рабочих станций в сегменте оставалось относительно невелико. Как только оно увеличивалось, в сетях возникала перегрузка (переполнение приемных буферов сетевых устройств), которая приводила к потере пакетов. Увеличение количества устройств, объединяемых в сети, повышение мощности процессоров рабочих станций, появление мультимедийных приложений и приложений клиент-сервер требовали большей полосы пропускания. В ответ на эти растущие требования фирмой Kalpana в 1990 г. на рынок был выпущен первый коммутатор (switch), получивший название Ether Switch. Коммутатор представлял собой многопортовый мост и также функционировал на канальном уровне модели OSI. Основное отличие коммутатора от моста заключалось в том, что он мог устанавливать одновременно несколько соединений между разными парами портов. При передаче пакета через коммутатор в нем создавался отдельный виртуальный (либо реальный, в зависимости от архитектуры) канал, по которому данные пересылались «напрямую» от порта-источника к порту-получателю с максимально возможной для используемой технологии скоростью. Такой принцип работы получил название микросегментация. Благодаря микросегментации, коммутаторы получили возможность функционировать в режиме полного дуплекса (full duplex), что позволяло каждой рабочей станции одновременно передавать и принимать данные, используя всю полосу пропускания в обоих направлениях. Рабочей станции не приходилось конкурировать за полосу пропускания с другими устройствами, в результате чего не происходили коллизии, и повышалась производительность сети. В настоящее время коммутаторы являются основным строительным блоком для создания локальных сетей. Современные коммутаторы Ethernet превратились в интеллектуальные устройства со специализированными процессорами для обработки и перенаправления пакетов на высоких скоростях, и реализации таких функций, как организация резервирования и повышения отказоустойчивости сети, агрегирование каналов, создание виртуальных локальных сетей (VLAN), маршрутизация, управление качеством обслуживания (Quality of Service, QoS), обеспечение безопасности и многих других. Также усовершенствовались функции управления коммутаторов, благодаря чему системные администраторы получили удобные средства настройки сетевых параметров, мониторинга и анализа трафика. С появлением стандарта IEEE 802.3af-2003 PoE, описывающего технологию передачи питания по Ethernet (Power over Ethernet, PoE), разработчики начали выпускать коммутаторы с поддержкой данной технологии, что позволило использовать их в качестве питающих устройств для IP-телефонов, Интернет-камер, беспроводных точек доступа и другого оборудования. С ростом популярности технологий беспроводного доступа в корпоративных сетях производители оборудования выпустили на рынок унифицированные коммутаторы с поддержкой технологии PoE для питания подключаемых к их портам точек беспроводного доступа и централизованного управления как проводной, так и беспроводной сетью. Повышение потребностей заказчиков и тенденции рынка стимулируют разработчиков коммутаторов более или менее регулярно расширять аппаратные и функциональные возможности производимых устройств, позволяющие предоставлять в локальных сетях новые услуги, повышать их надежность, управляемость и защищенность. Функционирование коммутаторов локальной сети Коммутаторы локальных сетей обрабатывают кадры на основе алгоритма прозрачного моста (transparent bridge), который определен стандартом IEEE 802.1D. Процесс работы алгоритма прозрачного моста начинается с построения таблицы коммутации (Forwarding DataBase, FDB). Изначально таблица коммутации пуста. При включении питания, одновременно с передачей данных, коммутатор начинает изучать расположение подключенных к нему сетевых устройств, путем анализа МАС-адресов источников получаемых кадров. Например, если на порт 1 коммутатора, показанного на рис. 1.3, поступает кадр от узла А, то он создает в таблице коммутации запись, ассоциирующую МАС-адрес узла А с номером входного порта. Записи в таблице коммутации создаются динамически. Это означает, что, как только коммутатором будет прочитан новый МАС-адрес, то он сразу будет занесен в таблицу коммутации. Дополнительно к МАС-адресу и ассоциированному с ним порту в таблицу коммутации для каждой записи заносится время старения (aging time). Время старения позволяет коммутатору автоматически реагировать на перемещение, добавление или удаление сетевых устройств. Каждый раз, когда идет обращение по какому-либо МАС-адресу, соответствующая запись получает новое время старения. Записи, по которым не обращались долгое время, из таблицы удаляются. Это позволяет хранить в таблице коммутации только актуальные МАС-адреса, что уменьшает время поиска соответствующей записи в ней и гарантирует, что она не будет использовать слишком много системной памяти. Помимо динамического создания записей в таблице коммутации в процессе самообучения коммутатора, существует возможность создания статических записей таблицы коммутации вручную. Статическим записям, в отличие от динамических, не присваивается время старения, поэтому время их жизни не ограничено. Статическую таблицу коммутации удобно использовать с целью повышения сетевой безопасности, когда необходимо гарантировать, что только устройства с определенными МАС-адресами могут подключаться к сети. В этом случае необходимо отключить автоизучение МАС-адресов на портах коммутатора. Как только в таблице коммутации появляется хотя бы одна запись, коммутатор начинает использовать ее для пересылки кадров. Рассмотрим пример, показанный на рис. 1.4, описывающий процесс пересылки кадров между портами коммутатора. Когда коммутатор получает кадр, отправленный компьютером А компьютеру В, он извлекает из него МАС-адрес приемника и ищет этот МАС-адрес в своей таблице коммутации. Как только в таблице коммутации будет найдена запись, ассоциирующая МАС-адрес приемника (компьютера В) с одним из портов коммутатора, за исключением порта-источника, кадр будет передан через соответствующий выходной порт (в приведенном примере – порт 2). Этот процесс называется продвижением (forwarding) кадра. Если бы оказалось, что выходной порт и порт-источник совпадают, то передаваемый кадр был бы отброшен коммутатором. Этот процесс называется фильтрацией(filtering). В том случае, если МАС-адрес приемника в поступившем кадре неизвестен (в таблице коммутации отсутствует соответствующая запись), коммутатор создает множество копий этого кадра и передает их через все свои порты, за исключением того, на который он поступил. Этот процесс называется лавинной передачей (flooding). Несмотря на то, что процесс лавинной передачи занимает полосу пропускания, он позволяет коммутатору избежать потери кадров, когда МАС-адрес приемника неизвестен, и осуществлять процесс самообучения. Помимо лавинной передачи одноадресных кадров, коммутаторы также выполняют лавинную передачу многоадресных и широковещательных кадров, которые генерируются сетевыми мультимедийными приложениями. Методы коммутации Первым шагом, который выполняет коммутатор, прежде чем принять решение о передаче кадра, является его получение и анализ содержимого. В современных коммутаторах используются следующие методы коммутации, определяющие поведение устройства при получении кадра: *коммутация с промежуточным хранением (store-and-forward); *коммутация без буферизации (cut-through). Оба метода коммутации принимают решение о продвижении кадров на основе МАС-адреса получателя, но отличаются последовательностью действий, которые коммутатор выполнит, прежде чем передать или отбросить поступивший на его порт кадр. Метод коммутации с промежуточным хранением (store-and-forward) исторически появился первым. Он характеризуется тем, что коммутатор, прежде чем передать кадр, полностью копирует его в буфер и производит проверку на наличие ошибок. Если кадр содержит ошибки (не совпадает контрольная сумма, или кадр меньше 64 байт или больше 1518 байт), то он отбрасывается. Если кадр не содержит ошибок, то коммутатор находит МАС-адрес приемника в своей таблице коммутации и определяет выходной порт. Затем, если не определены никакие фильтры, коммутатор передает кадр через соответствующий порт устройству назначения.Несмотря на то, что этот способ передачи связан с задержками (чем больше размер кадра, тем больше времени требуется на его прием и проверку на наличие ошибок), он обладает двумя существенными преимуществами: *коммутатор может быть оснащен портами, поддерживающими разные технологии и скорости передачи, например 10/100 Мбит/с, 1000 Мбит/с и 10 Гбит/с; *коммутатор может проверять целостность кадра, благодаря чему поврежденные кадры не будут передаваться в соответствующие сегменты. В большинстве коммутаторах D-Link реализован этот метод коммутации. Благодаря использованию в устройствах высокопроизводительных процессоров и контроллеров ASIC (Application-Specific Integrated Circuit), задержка, вносимая коммутацией store-and-forward при передаче кадров, оказывается незначительной. Коммутация без буферизации (cut-through) была реализована в первом коммутаторе Ethernet, разработанном фирмой Kalpana в 1990 г. При работе в этом режиме теоретически коммутатор копирует в буфер только МАС-адрес назначения (первые 6 байт после преамбулы) и сразу начинает передавать кадр, не дожидаясь его полного приема. Однако современные коммутаторы не всегда реализуют коммутацию без буферизации в классическом варианте. В зависимости от реализации коммутатор дожидается приема в буфер определенного количества байтов кадра и, если на порте не определены никакие фильтры, принимает решение о его передаче. Так как при работе в режиме cut-through коммутатор не дожидается приема всего кадра, то он не выполняет проверку кадров на наличие ошибок. Проверка кадра на наличие ошибок возлагается на принимающий узел. Однако, современная сетевая инфраструктура, включающая оборудование и кабельную систему позволяет свести вероятность возникновения ошибочных кадров к минимуму. Основным преимуществом коммутация без буферизации по сравнению с коммутацией с промежуточным хранением является уменьшение времени передачи кадров большого размера. Например, если приложение использует Jumbo-фреймы (кадры размером 9200 байт), то коммутатор, работающий в режиме cut-through, будет передавать данные на несколько микро или миллисекунд (в зависимости от скорости портов коммутатора) быстрее коммутатора, использующего режим store-and-forward. Помимо этого, коммутаторы с поддержкой режима cut-through хорошо подходят для использования в сетях, например в центрах обработки данных, с приложениями критичными к задержкам. Однако в некоторых случаях, метод cut-through теряет свои преимущества в скорости передачи. Это может произойти при перегрузке сети, использовании функций фильтрации, требующих обработки на ЦПУ, или когда порты коммутатора поддерживают разную скорость (если коммутационная матрица плохо спроектирована). Физическое стекирование по линейной и кольцевой топологии реализовано всеми сериях коммутаторов D-Link. Коммутаторы серии DGS-3120-хх позволяют объединить в стек до 6 устройств, коммутаторы серии DGS-3610-хх – до 8 устройств, а коммутаторы серий DGS-3420-хх, DGS-36хх, DGS-3620-хх – до 12 устройств, используя интерфейсы 10 Gigabit Ethernet (10GE). Коммутаторы серии DGS-3100-хх объединяются в стек через интерфейсы HDMI. Максимальное количество коммутаторов в стеке равно 6. Коммутаторы серии DES-3528/3552 поддерживают физическое стекирование через интерфейсы Gigabit Ethernet и позволяют объединить в стек до 8 устройств. Все устройства стека управляются через один IP-адрес. Передача данных между ними ведется в полнодуплексном режиме. Конструктивное исполнение коммутаторов В зависимости от конструктивного исполнения (габаритных размеров), можно выделить три группы коммутаторов: · настольные коммутаторы (Desktop switch); · автономные коммутаторы, монтируемые в телекоммуникационную стойку (Rack mounted switch); · коммутаторы на основе шасси (Chassis switch ). Как следует из названия, настольные коммутаторы предназначены для размещения на столах, иногда они могут оснащаться, входящими в комплект поставки, скобами для крепления на стену. Обычно такие коммутаторы обладают корпусом обтекаемой формы с относительно небольшим количеством фиксированных портов (у коммутаторов D-Link количество портов варьируется от 5 до 16), внешним или внутренним блоком питания и небольшими ножками (обычно резиновыми) для обеспечения вентиляции нижней поверхности устройства. Чаще всего коммутаторы настольного форм-фактора используются в сетях класса SOHO ''(''Small Office , Home Office), где не требуется высокая производительность и поддержка расширенных функций. В качестве примера коммутатора в настольном исполнении можно привести коммутатор D-Link модели DES-1008А. Автономные коммутаторы ''в стоечном исполнении высотой 1U обладают корпусом для монтажа в 19” стойку, встроенным блоком питания и фиксированным количеством портов (у коммутаторов D-Link количество портов может достигать 52-х штук). По сравнению с настольными коммутаторами, коммутаторы, монтируемые в стойку, обеспечивают более высокую производительность и надежность, а также предлагают широкий набор сетевых функций и интерфейсов. Как правило, такие коммутаторы используются на уровнях доступа и распределения сетей малых и средних предприятий (''Small to Medium Business , SMB), корпоративных сетей и сетей провайдеров услуг (Internet Service Provider, ISP). Среди коммутаторов в стоечном исполнении с фиксированным количеством портов можно выделить отдельную группу устройств – стековые коммутаторы. Эти устройства представляют собой коммутаторы, которые могут работать как автономно, так как выполнены в отдельном корпусе, так и совместно, благодаря наличию специальных интерфейсов, позволяющих объединять коммутаторы в одно логическое устройство с целью увеличения количества портов, удобства управления и мониторинга. Говорится, что в этом случае отдельные коммутаторы образуют стек. Коммутаторы на основе шасси ''содержат слоты, которые могут быть использованы для установки интерфейсных модулей расширения, резервных источников питания и процессорных модулей. Модульное решение обеспечивает гибкость применения, высокую плотность портов и возможность резервирования критичных для функционирования коммутатора компонентов. Модули такого коммутатора поддерживают технологию «''hot swap» (горячая замена), то есть допускают замену на ходу, без выключения питания коммутатора. Коммутаторы на основе шасси предназначены для применения на магистрали сети крупных корпоративных сетей, городских сетей или сетей операторов связи. Физическое стекирование коммутаторов Типы интерфейсов коммутаторов В зависимости от выполняемых задач коммутаторы могут быть оборудованы различным количеством и типом портов. В таблице приведены типы наиболее часто используемых интерфейсов и их основные характеристики в соответствии со стандартом IEEE 802.3-2008. GBIC (Gigabit Interface Converter)Типы сменных интерфейсных модулей: Модули GBIC поддерживают стандарты Gigabit Ethernet или Fibre Channel для передачи данных, голоса и видео по медным или оптическим кабелям, но преимущественно представляют собой оптические трансиверы для приема или передачи сигнала по многомодовому или одномодовому волокну. SFP (Small Form Factor Pluggable) Модули SFP в два раза меньше GBIC по габаритным размерам. Посадочный размер SFP определяется величиной медного разъема RJ-45. Интерфейсы SFP поддерживают протоколы: Ethernet (на 10, 100,1000 Мбит/с), SONET/SDH (OC3/12/48 и STM 1/4/16), Fibre Channel (1 и 2 Гбит/с). Модули SFP работают на длинах волн 850, 1310 и 1550 нм. Технология сменных модулей оказалась очень эффективной в системах мультиплексирования со спектральным разделением каналов (WavelengthDivision Multiplexing, WDM), широко применяемых в сетях передачи данных и в телекоммуникационной отрасли. Существует три наиболее часто используемых реализации технологии WDM: * Broad WDM (или просто WDM) использует два канала – λ=1310 нм и λ=1550 нм. Большинство WDM-систем используют для работы одномодовые оптические кабели с диаметром волокна 9/125 мкм. * WDM (CWDM, мультиплексирование с разреженным спектральным разделением). Позволяет использовать до 18 оптических каналов (как определено в ITU-T G.694.2), отстоящих друг от друга на 20 нм для передачи оптических сигналов. Оптические каналы лежат в диапазоне от 1271 до 1611 нм. Из-за высокого затухания в диапазоне 1271-1451 нм большинство CWDM-реализаций используют 8 каналов в диапазоне 1471-1611нм. * Dense WDM (DWDM, мультиплексирование с плотным спектральным разделением) XFP (10 Gigabit Small Form Factor Pluggable) Оптический трансивер для волн 850, 1310 и 1550 нм. Они поддерживают 10GE, 10 Gigabit SONET/SDH, Fibre Channel и еще некоторые высокоскоростные протоколы. XFP имеют несколько большие размеры, чем трансиверы SFP. Модули могут поддерживать систему цифровой диагностики для мониторинга состояния оптических линий. SFP+ (Enhanced Small Form Factor Pluggable) Поддерживают скорость 10 Гбит/с. Требования к модулям SFP+ определены в спецификации SFF-8431. В коммутаторах D-Link слоты SFP+ поддерживают установку модулей SFP. По сравнению с трансиверами XFP, модули SFP+ обладают меньшими габаритными размерами и тепловыделением, что позволяет повысить плотность размещения портов 10 Гбит/с на корпусе телекоммуникационных устройств. Модули SFP+, также, как и модули SFP могут поддерживать систему цифровой диагностики в соответствии со спецификацией SFF-8472. D-Link трансиверы SFP+: * с поддержкой и без поддержки функции цифровой диагностики * для работы как с одномодовым или многомодовым оптическим кабелем на длинах волн 850, 1310 и 1550 нм; * с поддержкой технологий WDM, использующие λ = 1330 и 1270 нм для приема/передачи сигналов. Популярность CWDM-систем в городских и региональных сетях растет благодаря тому, что они позволяют снизить затраты на прокладку оптических кабелей, повысить пропускную способность оптической сети на фоне постоянно увеличивающегося объема трафика, что особенно актуально провайдерам услуг. Новый сервис может быть добавлен поверх существующего оптического кабеля без приостановки предоставления услуг клиентам. Помимо предоставления сервисов, использование технологии CWDM позволяет оказывать такую услугу как предоставление в аренду «виртуального волокна». D-Link модули XFP и SFP+ с поддержкой технологии CWDM для следующих длин волн: 1271, 1291, 1311,1331, 1471, 1491,1511,1531, 1551, 1571, 1591, 1611 нм. Модули оснащены дуплексными разъемами LC для подключения одномодового оптического кабеля и обеспечивают передачу данных на расстояния до 10, 40 и 70 км в зависимости от модели. Модули с WDM работают в паре и передают сигналы по одному волокну оптического кабеля на разных длинах волн. Модули D-Link XFP и SFP+ CWDM являются однонаправленными и требуют подключения к мультиплексору на другом конце линии связи. Мультиплексор – это пассивное устройство, которое мультиплексирует передаваемые и демультиплексирует принимаемые на разных длинах волн оптические сигналы. В зависимости от типа используемого для межмультиплексорной связи оптического кабеля, существуют две реализации мультиплексоров – одноволоконные и двухволоконные. Модули D-Link XFP и SFP+ CWDM используются для подключения к двухволоконным мультиплексорам. Они передают и принимают сигналы на одной и той же длине волны по разным волокнам одномодового оптического кабеля. Мультиплексор объединяет сигналы, полученные от модулей, и передает их (каждый в своем оптическом канале) по одному волокну двухволоконного оптического кабеля. По другому волокну кабеля выполняется прием мультиплексированных сигналов, которые далее демультиплексируются приемником мультиплексора. Благодаря использованию двух волокон оптического кабеля мультиплексор может одновременно мультиплексировать и демультиплексировать сигналы в обоих направлениях – от модуля и к модулю CWDM. Архитектура коммутаторов Коммутирующая матрица (switch fabric) ''– чипсет, соединяющий множество входов с множеством выходов на основе фундаментальных технологий и принципов коммутации. Коммутирующая матрица выполняет три функции: *переключает трафик с одного порта матрицы на другой, обеспечивая их равнозначность; *предоставляет качество обслуживания (Quality of Service, QoS); *обеспечивает отказоустойчивость. Поскольку коммутирующая матрица - ядро аппаратной платформы, к ней предъявляются требования по масштабированию производительности и возможности быстрого развития системы QoS. ''Производительность коммутирующей матрицы (switch capacity) определяется как общая полоса пропускания (bandwidth), обеспечивающая коммутацию без отбрасывания пакетов трафика любого типа (одноадресного, многоадресного, широковещательного). «Неблокирующей» коммутирующей матрицей (non-blocking switch fabric) является такая матрица, у которой производительность и QoS не зависят от типа трафика, коммутируемого через матрицу и производительность равна сумме скоростей всех портов: Мбит/с * , где N – количество портов, Cpi- максимальная производительность протокола, поддерживаемого i-м портом коммутатора. * Умножение на 2 для дуплексного режима работы. Например, производительность коммутатора с 24 портами 10/100 Мбит/с и 2 портами 1 Гбит/с вычисляется следующим образом: ((24 х 100 Мбит/с) + (2 х 1 Гбит/с)) х 2 = 8.8 Гбит/с Коммутатор обеспечивает портам равноправный доступ к матрице, если в системе не установлено преимущество одних портов над другими. Одним из наиболее важных вопросов является отказоустойчивость коммутирующей матрицы. Этот вопрос решается за счет реализации отказоустойчивой архитектуры, предусматривающей резервирование критичных для работы коммутатора блоков. Один ключевых компонентов архитектуры – контроллер ASIC (Application Specific Integrated Circuit) – быстродействующие и относительно недорогие кремниевые кристаллы, которые предназначены для выполнения определенных операций. Их использование повышает производительность системы, т.к. ACIS выполняет операции аппаратно, благодаря чему не возникают накладные расходы, связанные с выборкой и интерпретацией хранимых команд. Современные контроллеры ACIS часто содержат на одном кристалле 32-битные процессоры, блоки памяти, включая ROM, RAM, EEPROM, Flash, и встроенное программное обеспечение. Такие ASIC получили название System-on-a-Chip (SoC). В настоящее время существует много типов архитектур коммутирующих матриц. Выбор архитектуры матрицы во многом определяется ролью коммутатора в сети и количеством трафика, которое ему придется обрабатывать. В действительности, матрица обычно реализуется на основе комбинации двух или более базовых архитектур. Рассмотрим самые распространенные типы архитектур коммутирующих матриц.' Архитектура с разделяемой шиной Архитектура с разделяемой шиной (Shared Bus) использует в качестве разделяемой среды шину, которая обеспечивает связь подключенных к ней устройств ввода-вывода (портов). Шина используется в режиме разделения времени, т.е. в каждый момент времени только одному источнику разрешено передавать по ней данные. Управление доступом к шине осуществляется через централизованный арбитр, который предоставляет источнику право передавать данные. Применительно к системам с разделяемой шиной, под термином «неблокирующая» понимается то, что сумма скоростей портов матрицы меньше, чем скорость шины. Т.е. производительность системы ограничена производительностью шины. Даже если общая полоса пропускания ниже производительности шины, количество и производительность устройств ввода-вывода ограничены производительностью централизованного арбитра. Архитектура с разделяемой памятью Улучшения архитектуры с разделяемой шиной привели к появлению высокопроизводительной архитектуры с разделяемой памятью (Shared Memory). Архитектура с разделяемой памятью обычно основана на использовании быстрой памяти RAM большой емкости в качестве общего буфера коммутационной системы, предназначенного для хранения входящих пакетов перед их передачей. Память обычно организуется в виде множества выходных очередей, ассоциирующихся с одним из устройств ввода-вывода или портом. Для обеспечения неблокирующей работы полоса пропускания памяти для операции «запись» и операции «чтение» должна быть равна максимальной суммарной полосе пропускания всех входных портов. Типовая архитектура коммутаторов с разделяемой памятью показана на рис. Входящие пакеты преобразуются из последовательного формата в параллельный и затем записываются в двухпортовую память. Запись в память осуществляется по принципу мультиплексирования с разделением по времени (Time Division Multiplexing , TDM), поэтому в каждый момент времени только один входной порт может поместить кадр в ячейку разделяемой памяти. Заголовки каждого кадра передаются в контроллер памяти. На основе этой информации он определяет выходной порт назначения и выходную очередь, в которую необходимо поместить кадр. Порядок, в котором выходные кадры будут считываться из памяти, определяется контроллером памяти с помощью механизма арбитража. Считанные кадры отправляются на соответствующие выходные порты (выходные кадры демультиплексируются с разделением по времени таким образом, что только один выходной порт может получить доступ к разделяемой памяти), где они вновь преобразуются из параллельного формата в последовательный. Одним из преимуществ использования общего буфера для хранения пакетов является то, что он позволяет минимизировать количество выходных буферов, требуемых для поддержания скорости потери пакетов на низком уровне. С помощью централизованного буфера можно воспользоваться преимуществами статического разделения буферной памяти. При высокой скорости трафика на одном из портов он может захватить большее буферное пространство, если общий буферный пул не занят полностью. Архитектура с разделяемой памятью обладает рядом недостатков. Так как пакеты записываются и считываются из памяти одновременно, она должна обладать суммарной пропускной способностью портов, т.е. операции записи и чтения из памяти должны выполняться в N (количество портов) раз выше скорости работы портов. Т.к. доступ к памяти физически ограничен, необходимость ускорения работы в N раз ограничивает масштабируемость архитектуры. Более того, контроллер памяти должен обрабатывать пакеты с той же скоростью, что и память. Такая задача может быть трудно выполнимой в случае управления множеством классов приоритетов и сложными операциями планирования. Коммутаторы с разделяемой памятью обладают единой точкой отказа, поскольку добавление еще одного общего буфера является сложным и дорогим. В результате этого в чистом виде архитектура с разделяемой памятью используется для построения коммутаторов с небольшим количеством портов. Архитектура на основе коммутационной матрицы Параллельно с появлением архитектуры с разделяемой памятью (в середине 1990-х годов) была разработана архитектура на основе коммутационной матрицы (Crossbar architecture). Эта архитектура используется для построения коммутаторов различных типов. Существует множество вариаций архитектуры этого типа. Базовая архитектура на основе коммутационной матрицы NxN непосредственно соединяет N входных портов с N выходными портами в виде матрицы. В местах пересечения проводников, соединяющих входы и выходы, находятся коммутирующие устройства, которыми управляет специальный контроллер. В каждый момент времени, анализируя адресную информацию, контроллер сообщает коммутирующим устройствам, какой выход должен быть подключен к какому входу. В том случае, если два входящих пакета от разных портов-источников будут переданы на один и тот же выходной порт, он будет заблокирован. Существуют различные подходы к решению этой проблемы: повышение производительности матрицы по сравнению с производительностью входных портов или использование буферов памяти и арбитров. Несмотря на простой дизайн, одной из фундаментальных проблем архитектуры на основе коммутационной матрицы остается ее масштабируемость. При увеличении количества входов и выходов усложняется схемотехника матрицы и в особенности контроллера. Поэтому для построения многопортовых коммутационных матриц используется другой подход, который заключается в том, что простые коммутационные матрицы связываются между собой, образуя одну большую коммутационную матрицу. Можно выделить два типа коммутаторов на основе коммутационной матрицы: * коммутаторы на основе коммутационной матрицы с буферизацией (buffered crossbar); * коммутаторы на основе коммутационной матрицы с арбитражем (arbitrated crossbar). Коммутаторы на основе коммутационной матрицы с буферизацией В коммутаторах на основе коммутационной матрицы с буферизацией буферы расположены на трех основных стадиях: на входе и выходе, и непосредственно на коммутационной матрице. Благодаря наличию очередей на трех стадиях, эта архитектура позволяет избежать сложностей, связанных с реализацией механизма централизованного арбитража. На выходе каждой из стадий осуществляется управление очередями с помощью одного из алгоритмов диспетчеризации. Несмотря на то, что эта архитектура является простейшей архитектурой коммутаторов, из-за независимости стадий для нее существуют сложности с реализацией качества обслуживания (QoS) в пределах коммутатора. Коммутаторы на основе коммутационной матрицы с арбитражем Эта архитектура характеризуется наличием безбуферных коммутирующих элементов и арбитра, который управляет передачей трафика между входами и выходами матрицы. Отсутствие буферов у коммутирующих элементов компенсируется наличием буферов входных и выходных портов. Обычно разработчики используют один из трех методов буферизации: выходные буферы, входные буферы, комбинированные входные и выходные буферы. В коммутаторах с входными очередями (Input-Queued Switch ) память каждого входного порта организована в виде очередей типа FIFO (First Input First Output , «первым пришел, первым ушел»), которая используется для буферизации пакетов перед началом процесса коммутации. Одной из проблем этого типа коммутационной матрицы является блокировка первым в очереди (Head-Of-Line blocking, HOL). Она возникает в том случае, когда коммутатор пытается одновременно передать пакеты из нескольких входных очередей на один выходной порт. При этом пакеты, находящиеся в начале этих очередей блокируют все остальные пакеты, находящиеся за ними. Для принятия решения о том, какой пакет и из какой очереди может получить доступ к матрице, используется арбитр. Перед передачей пакета входные порты направляют арбитру запросы на подключение к разделяемому ресурсу (в данном случае пути матрицы) и получают от него право на подключение. Арбитр принимает решение о последовательности передачи пакетов из входных очередей на основе алгоритма диспетчеризации (scheduling algorithm). В коммутаторах с выходными очередями (output-queued switch) пакеты буферизируются только на выходных портах после завершения процесса коммутации. В этом случае удается избежать проблемы, связанной с блокированием очередей HOL. Коммутаторы этой архитектуры используют арбитр для управления временем, за которое пакеты коммутируются через матрицу. При правильно разработанном арбитре, коммутаторы с выходными очередями могут обеспечивать качество обслуживания (QoS). Следует отметить, что выходной буфер каждого порта требует большего объема памяти по сравнению с входным буфером. Это позволяет избежать блокирования на выходе, когда все входные порты пытаются подключиться к одному выходу. Еще одним важным фактором, является скорость выполнения операции «запись» коммутируемых пакетов в выходную очередь. По этим двум причинам архитектура с выходными очередями должна быть реализована на высокоскоростных элементах, что делает ее очень дорогостоящей. Коммутаторы с виртуальными очередями (Virtual Output Queues, VOQ) позволяют преодолеть проблему блокировки очередей HOL, не внося издержек по сравнению с коммутаторами с выходными очередями. В этой архитектуре память каждого входного порта организована в виде N (N –количество выходных портов) логических очередей типа FIFO, по одной для каждого выходного порта. Эти очереди используются для буферизации пакетов, поступающих на входной порт и предназначенных для выходного порта j ( j = 1,…. N ). В том случае, если существует несколько виртуальных очередей, может возникнуть проблема, связанная с одновременным доступом к коммутационной матрице и блокировкой очередей. Для решения этой проблемы используется арбитр, который на основе алгоритма диспетчеризации выбирает пакеты из разных очередей. В коммутаторах с комбинированными входными и выходными очередями (Combined Inputand Output Queued, CIOQ) буферы памяти подключены как к входным, так и выходным портам. Память каждого из входных портов организована в виде N виртуальных выходных очередей типа FIFO, по одной для каждого выходного порта. Каждый из N выходных портов также содержит очередь типа FIFO, которая используется для буферизации пакетов, ожидающих передачи через него. Система коммутации работает по принципу конвейера, каждая стадия которого называется временным слотом (time slot). В течение временного слота 1, который называется стадией прибытия, пакеты поступают на входные порты. Для передачи внутри коммутатора все пакеты сегментируются на ячейки фиксированного размера. Размер такой ячейки данных определяется производителем коммутатора. Каждая ячейка снабжается меткой с указанием размера, номера входного порта и порта назначения, и помещается в виртуальную выходную очередь соответствующего выходного порта. Входные порты отправляют «запросы на подключение к выходам» централизованному арбитру, а все выходные порты отправляют ему «информацию о перегрузке» (переполнении выходных буферов). Во временной слот 2, который называется стадией диспетчеризации, ячейки передаются из входных очередей в выходные. Последовательность передачи ячеек определяется централизованным арбитром с помощью алгоритма диспетчеризации. Для того чтобы выходные очереди быстро заполнялись пакетами из входных очередей (с целью уменьшения задержки передачи пакетов и обеспечения QoS), алгоритм диспетчеризации должен обеспечивать циклическое высокоскоростное сопоставление входных и выходных очередей. Это сопоставление используется для настройки управляемых переключателей матрицы перед передачей пакетов с входов на выходы. Во временной слот 3, который называется стадией передачи, осуществляется сборка пакетов и их передача с выходных портов. Характеристики, влияющие на производительность коммутаторов Производительность коммутатора – характеристика, на которую сетевые интеграторы и опытные администраторы обращают внимание в первую очередь при выборе устройства. Основными показателями коммутатора, характеризующими его производительность, являются: * скорость фильтрации кадров; * скорость продвижения кадров; * пропускная способность; * задержка передачи кадра. Кроме того, существует несколько характеристик коммутатора, которые в наибольшей степени влияют на указанные характеристики производительности. К ним относятся: * тип коммутации; * размер буфера (буферов) кадров; * производительность коммутирующей матрицы; * производительность процессора или процессоров; * размер таблицы коммутации. Скорость фильтрации и скорость продвижения кадров Скорость фильтрации и продвижения кадров – это две основные характеристики производительности коммутатора. Эти характеристики являются интегральными показателями и не зависят от того, каким образом технически реализован коммутатор. Скорость фильтрации (filtering) определяет скорость, с которой коммутатор выполняет следующие этапы обработки кадров: * прием кадра в свой буфер; * отбрасывание кадра, в случае обнаружения в нем ошибки (не совпадает контрольная сумма, или кадр меньше 64 байт или больше 1518 байт); * отбрасывание кадра для исключения петель в сети; * отбрасывание кадра в соответствии с настроенными на порте фильтрами; * просмотр таблицы коммутации с целью поиска порта назначения на основе МАС-адреса приемника кадра и отбрасывание кадра, если узел-отправитель и получатель кадра подключены к одному порту. Скорость фильтрации практически у всех коммутаторов является неблокирующей - коммутатор успевает отбрасывать кадры в темпе их поступления. Скорость продвижения (forwarding) определяет скорость, с которой коммутатор выполняет следующие этапы обработки кадров: * прием кадра в свой буфер; * просмотр таблицы коммутации с целью нахождения порта назначения на основе МАС-адреса получателя кадра; * передача кадра в сеть через найденный по таблице коммутации порт назначения. Как скорость фильтрации, так и скорость продвижения измеряется обычно в кадрах в секунду. Если в характеристиках коммутатора не уточняется, для какого протокола и для какого размера кадра приведены значения скоростей фильтрации и продвижения, то по умолчанию считается, что эти показатели даются для протокола Ethernet и кадров минимального размера, то есть кадров длиной 64 байт (без преамбулы) с полем данных в 46 байт. Применение в качестве основного показателя скорости обработки коммутатором кадров минимальной длины объясняется тем, что такие кадры всегда создают для коммутатора наиболее тяжелый режим работы по сравнению с кадрами другого формата при равной пропускной способности передаваемых пользовательских данных. Поэтому при проведении тестирования коммутатора режим передачи кадров минимальной длины используется как наиболее сложный тест, который должен проверить способность коммутатора работать при наихудшем сочетании параметров трафика. Пропускная способность коммутатора (throughput ) измеряется количеством пользовательских данных (в мегабитах или гигабитах в секунду), переданных в единицу времени через его порты. Так как коммутатор работает на канальном уровне, для него пользовательскими данными являются те данные, которые переносятся в поле данных кадров протоколов канального уровня –Ethernet, Fast Ethernet и т.д. Максимальное значение пропускной способности коммутатора всегда достигается на кадрах максимальной длины, так как при этом доля накладных расходов на служебную информацию кадра гораздо ниже, чем для кадров минимальной длины, а время выполнения коммутатором операций по обработке кадра, приходящееся на один байт пользовательской информации, существенно меньше. Поэтому коммутатор может быть блокирующим для кадров минимальной длины, но при этом иметь очень хорошие показатели пропускной способности. Задержка передачи кадра (forward delay ) измеряется как время, прошедшее с момента прихода первого байта кадра на входной порт коммутатора до момента появления этого байта на его выходном порту. Задержка складывается из времени, затрачиваемого на буферизацию байт кадра, а также времени, затрачиваемого на обработку кадра коммутатором, а именно просмотра таблицы коммутации, принятия решения о продвижении и получения доступа к среде выходного порта. Величина вносимой коммутатором задержки зависит от используемого в нем метода коммутации. Если коммутация осуществляется без буферизации, то задержки обычно невелики и составляют от 5 до 40 мкс, а при полной буферизации кадров – от 50 до 200 мкс (для кадров минимальной длины). Размер таблицы коммутации Максимальная емкость таблицы коммутации определяет предельное количество MAC-адресов, которыми может одновременно оперировать коммутатор. В таблице коммутации для каждого порта могут храниться как динамически изученные МАС-адреса, так и статические МАС-адреса, которые были созданы администратором сети. Значение максимального числа МАС-адресов, которое может храниться в таблице коммутации, зависит от области применения коммутатора. Коммутаторы D-Link для рабочих групп и малых офисов обычно поддерживают таблицу МАС-адресов емкостью от 1К до 8К. Коммутаторы крупных рабочих групп поддерживают таблицу МАС-адресов емкостью от 8К до 16К, а коммутаторы магистралей сетей – как правило, от 16К до 64К адресов и более. Недостаточная емкость таблицы коммутации может служить причиной замедления работы коммутатора и засорения сети избыточным трафиком. Если таблица коммутации полностью заполнена, и порт встречает новый МАС-адрес источника в поступившем кадре, коммутатор не сможет занести его в таблицу. В этом случае ответный кадр на этот МАС-адрес будет разослан через все порты (за исключением порта-источника), т.е. вызовет лавинную передачу. Объем буфера кадров Для обеспечения временного хранения кадров в тех случаях, когда их невозможно немедленно передать на выходной порт, коммутаторы, в зависимости от реализованной архитектуры, оснащаются буферами на входных, выходных портах или общим буфером для всех портов. Размер буфера влияет как на задержку передачи кадра, так и на скорость потери пакетов. Поэтому чем больше объем буферной памяти, тем менее вероятны потери кадров. Обычно коммутаторы, предназначенные для работы в ответственных частях сети, обладают буферной памятью в несколько десятков или сотен Кбайт на порт. Общий для всех портов буфер обычно имеет объем в несколько Мбайт. Управление потоком в полудуплексном и дуплексном режимах Механизм управления потоком (Flow Control) позволяет предотвратить потерю данных в случае переполнения буфера принимающего устройства. Для управления потоком в полудуплексном режиме обычно используется метод «Обратного давления» (Backpressure). Принимающее устройство (порт коммутатора), в случае переполнения его буфера, отсылает искусственно созданный сигнал обнаружения коллизии или обратно отправляет устройству-отправителю его кадры. Для управления потоком в дуплексном режиме используется стандарт IEEE 802.3х. Согласно этому стандарту управление потоком осуществляется между МАС-уровнями с помощью специального кадра-паузы, который автоматически формируется МАС-уровнем принимающего устройства. В случае переполнения буфера принимающее устройство отправляет кадр-паузу с указанием периода времени, на который требуется остановить передачу данных, либо на уникальный МАС-адрес соответствующей станции, либо на специальный групповой адрес 01-80-C2-00-00-01. Если переполнение буфера будет ликвидировано до истечения периода ожидания, то для восстановления передачи, принимающая станция отправляет второй кадр-паузу с нулевым значением времени ожидания. Общая схема управления потоком показана на рис. 1.22. Дуплексный режим работы и сопутствующее ему управление потоком являются дополнительными режимами для всех МАС-уровней Ethernet независимо от скорости передачи. Кадры-паузы идентифицируются как управляющие МАС-кадры по уникальным значениям полей «Длина/тип» (88-08) и «Код операции управления МАС» (00-01). Правильно сконфигурированная функция управления потоком на устройствах позволяет повысить общую производительность сети за счет уменьшения потери данных и повторных передач. Управление потоком данных IEEE 802.3х большинства карт включено по умолчанию. Коммутаторы D-Link имеют разные настройки функции IEEE 802.3х по умолчанию: * неуправляемые коммутаторы – управление потоком IEEE 802.3х включено; * коммутаторы серии Smart – управление потоком IEEE 802.3х отключено; * управляемые коммутаторы – управление потоком IEEE 802.3х отключено. Поэтому, для корректной работы функции IEEE 802.3х на порте коммутатора должна быть активизирована функция управления потоком. Технологии коммутации и модель OSI Коммутаторы локальных сетей можно классифицировать в соответствии с уровнями модели OSI, на которых они передают, фильтруют и коммутируют кадры. Различают коммутаторы уровня 2 (Layer 2 (L2) Switch) и коммутаторы уровня 3 (Layer 3 (L3) Switch). Коммутаторы уровня 2 анализируют входящие кадры, принимают решение об их дальнейшей передаче и передают их пунктам назначения на основе МАС-адресов канального уровня модели OSI. Основное преимущество коммутаторов уровня 2 – прозрачность для протоколов верхнего уровня. Коммутация 2-го уровня – аппаратная. Она обладает высокой производительностью. Передача кадра в коммутаторе может осуществляться специализированным контроллером ASIC. В основном коммутаторы 2-го уровня используются для сегментации сети и объединения рабочих групп. Несмотря на преимущества коммутации 2-го уровня, она все же имеет некоторые ограничения. Наличие коммутаторов в сети не препятствует распространению широковещательных кадров по всем сегментам сети. Коммутатор уровня 3 осуществляют коммутацию и фильтрацию на основе адресов канального (уровень 2) и сетевого (уровень 3) уровней модели OSI. Коммутаторы 3-го уровня выполняет коммутацию в пределах рабочей группы и маршрутизацию между различными подсетями или виртуальными локальными сетями (VLAN). Коммутаторы уровня 3 осуществляют маршрутизацию пакетов аналогично традиционным маршрутизаторам. Они поддерживают протоколы маршрутизации RIP (Routing Information Protocol), OSPF (Open Shortest Path First ), BGP (Border Gateway Protocol), для обеспечения связи с другими коммутаторами уровня 3 или маршрутизаторами и построения таблиц маршрутизации, осуществляют маршрутизацию на основе политик, управление многоадресным трафиком. Существует две разновидности маршрутизации: аппаратная (коммутация 3 уровня) и программная. При аппаратной реализации пересылка пакетов осуществляется при помощи специализированных контроллеров ASIC. При программной реализации, для пересылки пакетов устройство использует центральный процессор. Обычно в коммутаторах 3 уровня и старших моделях маршрутизаторов маршрутизация пакетов аппаратная, что позволяет выполнять ее на скорости канала связи, а в маршрутизаторах общего назначения функция маршрутизации выполняется программно. Программное обеспечение коммутаторов Программное обеспечение коммутаторов D-Link предоставляет набор программных сервисов, предназначенных для выполнения различных функций, обеспечивающих безопасность, отказоустойчивость сети, управление многоадресной рассылкой, качество обслуживания (QoS), а также развитые средства настройки и управления. Помимо этого, программное обеспечение коммутаторов взаимодействует с приложениями D-Link D-View v.6, представляющими собой прикладные программы сетевого управления. Эти управляющие программы поддерживаются всей линейкой управляемых коммутаторов D-Link. Системное программное обеспечение располагается во Flash-памяти коммутатора, размер которой, в зависимости от модели, может быть до 32 Мбайт. Компания D-Link предоставляет возможность бесплатного обновления программного обеспечения коммутаторов, по мере появления новых версий с обновленным функционалом. Общие принципы сетевого дизайна Грамотный сетевой проект основывается на многих принципах, базовыми из которых являются: * Изучение возможных точек отказа сети. Для того чтобы единичный отказ не мог изолировать какой-либо из сегментов сети, в ней может быть предусмотрена избыточность. Под избыточностью понимается резервирование жизненно важных компонентов сети и распределение нагрузки. Так в случае отказа в сети, может существовать альтернативный или резервный путь к любому ее сегменту. Распределение нагрузки используется в том случае, если к пункту назначения имеется два или более путей, которые могут использоваться в зависимости от загруженности сети. Требуемый уровень избыточности сети меняется в зависимости от ее конкретной реализации. * Определение типа трафика сети. Например, если в сети используются клиент-серверные приложения, то поток вырабатываемого ими трафика является критичным для эффективного распределения ресурсов, таких как количество клиентов, использующих определенный сервер, или количество клиентских рабочих станций в сегменте. * Анализ доступной полосы пропускания. Например, в сети не должно быть большого различия в доступной полосе пропускания между различными уровнями иерархической модели (описание иерархической модели сети находится в следующем разделе). Важно помнить, что иерархическая модель ссылается на концептуальные уровни, которые обеспечивают функциональность. * Создание сети на базе иерархической или модульной модели. Иерархия позволяет объединить через межсетевые устройства отдельные сегменты, которые будут функционировать как единая сеть. Фактическая граница между уровнями не должна проходить по физическому каналу связи – ей может быть и внутренняя магистраль определенного устройства. Трехуровневая иерархическая модель сети Иерархическая модель определяет подход к проектированию сетей и включает в себя три логических уровня (рис. 1.24): * уровень доступа (access layer); * уровень распределения/агрегации (distribution layer); * уровень ядра (core layer). Для каждого уровня определены свои функции. Три уровня не обязательно предполагают наличие трех различных устройств. Если провести аналогию с иерархической моделью OSI, то в ней отдельный протокол не всегда соответствует одному из семи уровней. Иногда протокол соответствует более чем одному уровню модели OSI, а иногда несколько протоколов реализованы в рамках одного уровня. Так и при построении иерархических сетей, на одном уровне может быть как несколько устройств, так и одно устройство, выполняющее все функции,определенные на двух соседних уровнях. '''Уровень ядра – отвечает за надежную и быструю передачу больших объемов данных. Трафик, передаваемый через ядро, является общим для большинства пользователей. Сами пользовательские данные обрабатываются на уровне распределения, который, при необходимости, пересылает запросы к ядру. Для уровня ядра большое значение имеет его отказоустойчивость, поскольку сбой на этом уровне может привести к потере связности между уровнями распределения сети. Уровень распределения, который иногда называют уровнем рабочих групп, является связующим звеном между уровнями доступа и ядра. В зависимости от способа реализации, уровень распределения может выполнять следующие функции: * обеспечение маршрутизации, качества обслуживания и безопасности сети; * агрегирование каналов; * переход от одной технологии к другой (например, от 100Base-TX к 1000Base-T). Уровень доступа управляет доступом пользователей и рабочих групп к ресурсам объединенной сети. Основной задачей уровня доступа является создание точек входа/выхода пользователей в сеть.Уровень выполняет следующие функции: * управление доступом пользователей и политиками сети; * создание отдельных доменов коллизий (сегментация); * подключение рабочих групп к уровню распределения; * использование технологии коммутируемых локальных сетей. Обзор функциональных возможностей коммутаторов Современный коммутатор представляет собой довольно сложное устройство, имеющее несколько процессорных модулей и выполняющее основные функции передачи кадров с порта на порт по алгоритму прозрачного моста. Кроме того, в коммутаторе могут быть реализованы дополнительные функции, важные для построения расширяемых, надежных и гибких сетей. Большинство современных коммутаторов независимо от производителя, поддерживают множество дополнительных возможностей, отвечающих общепринятым стандартам. Наиболее распространенными и широко используемыми в настоящее время являются: * виртуальные локальные сети (VLAN); * семейство протоколов Spanning Tree – IEEE 802.1D, 802.1w, 802.1s; * статическое и динамическое по протоколу IEEE 802.3ad агрегирование каналов Ethernet; * сегментация трафика; * обеспечение качества обслуживания QoS; * функции обеспечения безопасности, включая аутентификацию 802.1Х, функции Port Security, IP-MAC-Port Binding и т.д.; * протоколы поддержки Multicast-вещания; * SNMP-управление и др. Помимо перечисленных функций коммутаторы могут играть роль маршрутизаторов локальной сети с поддержкой протоколов динамической маршрутизации. В этом случае их называют коммутаторами 3-го уровня. Начальная настройка коммутатора Классификация коммутаторов по возможности управления Коммутаторы локальной сети можно классифицировать по возможности управления. Существует три категории коммутаторов: * неуправляемые коммутаторы; * управляемые коммутаторы; * настраиваемые коммутаторы. Неуправляемые коммутаторы не поддерживают возможности управления и обновления программного обеспечения. Управляемые коммутаторы являются сложными устройствами, позволяющими выполнять расширенный набор функций 2 и 3 уровня модели OSI. Управление коммутаторами может осуществляться посредством Web-интерфейса, командной строки (CLI), протокола SNMP, Telnet и т.д. Настраиваемые коммутаторы занимают промежуточную позицию между ними. Они предоставляют пользователям возможность настраивать определенные параметры сети с помощью интуитивно понятных средств управления, например, Web-интерфейса. Средства управления коммутаторами Большинство современных коммутаторов поддерживают различные функции управления и мониторинга. К ним относятся дружественный пользователю Web-интерфейс управления, интерфейс командной строки (Command Line Interface, CLI), Telnet, SNMP-управление. В коммутаторах D-Link серии Smart также реализована поддержка начальной настройки и обновления программного обеспечения через утилиту D-Link Smart Console Utility. Web-интерфейс управления позволяет осуществлять настройку и мониторинг параметров коммутатора, используя любой компьютер, оснащенный стандартным Web-браузером. Браузер представляет собой универсальное средство доступа и может непосредственно подключаться к коммутатору по протоколу HTTP. Главная страница Web-интерфейса обеспечивает доступ к различным настройкам коммутатора и отображает всю необходимую информацию об устройстве. Администратор может быстро посмотреть статус устройства, статистику по производительности и т.д., а также произвести необходимые настройки. Доступ к интерфейсу командной строки коммутатора осуществляется путем подключения к его консольному порту терминала или персонального компьютера с установленной программой эмуляции терминала. Это метод доступа наиболее удобен при первоначальном подключении к коммутатору, когда значение IP-адреса не известно или не установлено, в случае необходимости восстановления пароля и при выполнении расширенных настроек коммутатора. Также доступ к интерфейсу командной строки может быть получен по сети с помощью протокола Telnet. Пользователь может использовать для настройки коммутатора любой удобный ему интерфейс управления, т.к. набор доступных через разные интерфейсы управления функций одинаков для каждой конкретной модели. Еще один способ управления коммутатором – использование протокола SNMP (Simple Network Management Protocol). Протокол SNMP является протоколом 7 уровня модели OSI и разработан специально для управления и мониторинга сетевыми устройствами и приложениями связи, путем обмена управляющей информацией между агентами, располагающимися на сетевых устройствах, и менеджерами, расположенными на станциях управления. Коммутаторами D-Link поддерживается протокол SNMP версий 1, 2с и 3. Также стоит отметить возможность обновления программного обеспечения коммутаторов (за исключением неуправляемых). Это обеспечивает более долгий срок эксплуатации устройств, т.к. позволяет добавлять новые функции либо устранять имеющиеся ошибки по мере выхода новых версий ПО, что существенно облегчает и удешевляет использование устройств. Компания D-Link распространяет новые версии ПО бесплатно. Сюда же можно включить возможность сохранения настроек коммутатора на случай сбоев с последующим восстановлением или тиражированием,что избавляет администратора от выполнения рутинной работы. Подключение к коммутатору Перед тем как начать настройку коммутатора, необходимо установить физическое соединение между ним и рабочей станцией. Существуют два типа кабельного соединения, используемых для управления коммутатором: через консольный порт (если он имеется у устройства) и через порт Ethernet (по протоколу Telnet или через Web-интерфейс). Консольный порт используется для первоначальной конфигурации коммутатора и обычно не требует настройки. Для того чтобы получить доступ к коммутатору через порт Ethernet, в браузере необходимо ввести IP-адрес по умолчанию его интерфейса управления (обычно он указан в руководстве пользователя). При подключении к порту RJ-45 Ethernet-коммутатора Ethernet-совместимых устройств, используется четырехпарный кабель UTP категории 5, 5е или 6 для Gigabit Ethernet. Поскольку коммутаторы D-Link поддерживают функцию автоматического определения полярности (MDI/MDIX), можно использовать любой тип кабеля (прямой или кроссовый). Для подключения к порту RJ-45 Ethernet другого коммутатора так же можно использовать любой четырехпарный кабель UTP категории 5, 5е, 6, при условии, что порты коммутатора поддерживают автоматическое определение полярности. В противном случае надо использовать кроссовый кабель. Правильность подключения поможет определить светодиодная индикация порта. Если соответствующий индикатор горит, то связь между коммутатором и подключенным устройством установлена. Если индикатор не горит, возможно, что не включено питание одного из устройств или возникли проблемы с сетевым адаптером подключенного устройства, или имеются неполадки с кабелем. Если индикатор загорается и гаснет, возможно, есть проблемы с автоматическим определением скорости и режимом работы (дуплекс/полудуплекс). Подробно сигналы индикаторов описаны в руководстве пользователя коммутатора конкретной модели. Подключение к консоли интерфейса командной строки коммутатора Управляемые коммутаторы D-Link оснащены консольным портом. В зависимости от модели коммутатора, консольный порт может обладать разъемом DB-9 или RJ-45. С помощью консольного кабеля, входящего в комплект поставки, коммутатор подключается к последовательному порту компьютера. Такое подключение иногда называют «Out-of-Band»-подключением. Это означает, что консоль использует отличную от обычного сетевого подключения схему (не использует полосу пропускания портов Ethernet). После подключения к консольному порту коммутатора, на персональном компьютере необходимо запустить программу эмуляции терминала VT100 (например, программу Hyper Terminal в Windows). В программе следует установить следующие параметры подключения, которые, как правило, указаны в документации к устройству: Скорость (бит/с): 9600 или 115200* Биты данных: 8 Четность: нет Стоповые биты: 1 Управление потоком: нет Этот параметр зависит от модели коммутатора и указывается в руководстве пользователя. При успешном соединении коммутатора с консолью появится следующее окно. Это справедливо только для коммутаторов, имеющих поддержку интерфейса командной строки CLI. В случае, если окно не появилось, необходимо нажать Ctrl+r, чтобы обновить все его содержимое. Все управляемые коммутаторы обладают защитой от доступа неавторизованных пользователей, поэтому после загрузки устройства появится приглашение ввести имя пользователя и пароль. По умолчанию имя пользователя и пароль не определены, поэтому необходимо дважды нажать клавишу Enter. После этого в командной строке появится приглашение, например DЕS-3528#. Теперь можно вводить команды. Начальная конфигурация коммутатора Вызов помощи по командам Существует большое количество команд CLI. Они бывают сложные, многоуровневые, требующие ввода большого количества параметров, и простые, состоящие из одного параметра. Для того чтобы вывести на экран список всех команд данного уровня, следует набрать в командной строке «?» и нажать клавишу Enter. Команду «?» можно использовать и в том случае, если неизвестны параметры команды. Например, если надо узнать возможные варианты синтаксиса команды show, введите в командной строке: DЕS-3528 #show + пробел Далее можно ввести «?» или нажать кнопку Enter. На экране появятся все возможные завершения команды. Также можно воспользоваться кнопкой TAB, которая будет последовательно выводить на экран все возможные завершения команды. Внимание: при работе в CLI можно вводить сокращенный вариант команды. Например, если ввести команду «sh sw», то коммутатор интерпретирует эту команду как «show switch». Внимание: далее примеры настроек приведены для коммутаторов серии DES-3528, если не указано иное. Базовая конфигурация коммутатора Шаг 1. Обеспечение защиты коммутатора от доступа неавторизованных пользователей. Самым первым шагом при создании конфигурации коммутатора является обеспечение его защиты от доступа неавторизованных пользователей. Самая простая форма безопасности – создание учетных записей для пользователей с соответствующими правами. Создавая учетную запись для пользователя, можно задать один из следующих уровней привилегий: Admin, Operator ''или ''User. Учетная запись Admin ''имеет наивысший уровень привилегий. Создать учетную запись пользователя можно с помощью следующих команд CLI: '''create account | operator | user < username 15 >'' Далее появится приглашение для ввода пароля и подтверждения ввода: '''Enter a case-sensitive new password: Enter the new password again for confirmation: Длина имени пользователя и пароля – от 0 до 15 символов. На коммутаторе можно создать до 8 учетных записей пользователей. После успешного создания учетной записи на экране появится слово Success. Внимание: все команды чувствительны к регистру. Перед вводом команды убедитесь, что отключен Caps Lock или другие нежелательные функции, которые изменят регистр текста. Ниже приведен пример создания учетной записи с уровнем привилегий «admin» и именем пользователя (Username) «dlink» на коммутаторе DES-3528: DES-3528# create account admin dlink Command:create account admin dlink Enter a case-sensitive new password:**** Enter the new password again for confirmation:**** Success. Изменить пароль для пользователя с существующей учетной записью, можно с помощью команды: config account < username > {encrypt | sha_1 < password >}''' Ниже приведен пример создания на коммутатореDES-3528 нового пароля для учетной записи dlink: DES-3528# config account dlink Command: config account dlink Enter a old password:**** Enter a case-sensitive new password:**** Enter the new password again for confirmation:**** Success Проверить созданную учетную запись можно с помощью команды: '''show account Ниже приведен пример выполнения этой команды на коммутаторе DES-3528. DES-3528# show account Command:show account Current Accounts: Total Entries: 1 Удалить учетную запись можно, выполнив команду: delete account < username > Ниже приведен пример удаления учетной записи dlink на коммутаторе DES-3528. DES-3528# delete account dlink Command:delete account dlink Are you sure to delete the last administrator account?(y/n) Success Шаг 2. Настройка IP-адреса. Для того чтобы коммутатором можно было удаленно управлять через Web-интерфейс или Telnet, ему необходимо назначить IP-адрес из адресного пространства сети, в которой планируется его использовать. IP-адрес может быть задан автоматически с помощью протоколов DHCP или BOOTP или статически, с помощью следующих команд CLI: config ipif System dhcp config ipif System ipaddress xxx. xxx. xxx. xxx / yyy. yyy. yyy. yyy где xxx.xxx.xxx.xxx – IP-адрес, yyy.yyy.yyy.yyy – маска подсети, System – имя управляющего интерфейса коммутатора. Ниже приведен пример использования команды присвоения IP-адреса управляющему интерфейсу на коммутаторе DES-3528: DES-3528# config ipif System ipaddress 192.168.100.240/255.255.255.0 Command:config ipif System ipaddress 192.168.100.240/24 Success Шаг 3. Настройка параметров портов коммутатора. По умолчанию порты всех коммутаторов D-Link поддерживают автоматическое определение скорости и режима работы (дуплекса). Но может возникнуть ситуация, в которой автоопределение будет действовать некорректно и потребуется ручная установка скорости и режима. В этом случае ручную настройку параметров необходимо выполнить на обоих концах канала связи. Для установки параметров портов, таких как скорость передачи, дуплексный/полудуплексный режим работы, активизация/отключение управления потоком, изучение МАС-адресов, автоматическое определение полярности и т.д., на коммутаторах D-Link можно воспользоваться командой config ports. Ниже приведен пример настройки параметров портов на коммутаторе DES-3528. Для портов 1, 2, 3 производятся следующие настройки: скорость передачи устанавливается равной 10 Мбит/с, активизируются дуплексный режим работы, изучение МАС-адресов, управление потоком, порты переводятся в состояние «включен». DES-3528# config ports 1-3 speed 10_full learning enable state enable flow_control enable Command: config ports 1-3 speed 10_full learning enable state enable flow_control enable Success Команда show ports'' <список портов>'' выведет на экран информацию о настройках портов коммутатора. Ниже показан результат выполнения команды show ports на коммутаторе DES-3528. Шаг 4. Сохранение текущей конфигурации коммутатора в энергонезависимую память NVRAM. Для этого необходимо выполнить команду save. DES-3528# save Command:save Saving all settings to NV-RAM……….Done Внимание: активная конфигурация хранится в оперативной памяти SDRAM . При отключении питания, конфигурация, хранимая в этой памяти, будет потеряна. Для того чтобы сохранить конфигурацию в энергонезависимой памяти NVRAM, необходимо выполнить команду «save». Шаг 5. Перезагрузка коммутатора с помощью команды reboot. DES-3528# reboot Command:reboot Are you sure you want to proceed with the system reboot?(y/n) Please wait, the switch is rebooting... Сброс настроек коммутатора к заводским установкам выполняется с помощью команды reset {system}{force_agree} ''' Если в команде не будет указано никаких ключевых слов, то все параметры, за исключением IP-адреса, учетных записей пользователей и лог-файла, будут возвращены к заводским параметрам по умолчанию. Коммутатор не сохранит настройки в энергонезависимой памяти NVRAM и не перегрузится. Если указано ключевое слово '''config, на коммутаторе восстановятся все заводские настройки по умолчанию, включая IP-адрес интерфейса управления, учетные записи пользователей и журнал историй. Коммутатор не сохранит настройки в энергонезависимой памяти NVRAM и не перезагрузится. Если указано ключевое слово system, на коммутаторе восстановятся все заводские настройки по умолчанию в полном объеме. Коммутатор сохранит эти настройки в энергонезависимой памяти NVRAM и перезагрузится. Параметр force_agree позволяет произвести безусловное выполнение команды reset. Не нужно вводить «Y/N». На коммутаторе восстановятся все заводские настройки по умолчанию, исключая IP-адрес, учетные записи пользователей и журнал историй. DES-3528# reset Command: reset Success Шаг 6. Просмотр конфигурации коммутатора. Получить информацию о коммутаторе (посмотреть его текущую конфигурацию) можно с помощью команды show switch. DES-3528# show switch Command:show switch Device Type : DES-3528 Fast Ethernet Switch MAC Address : 00-1E-58-50-15-10 IP Address : 192.168.100.241 (Manual) VLAN Name : default Subnet Mask : 255.255.255.0 DefaultGateway : 0.0.0.0 Boot PROM Version : Build 1.00.B007 Firmware Version : Build 2.20.B028 HardwareVersion : A1 Serial Number : P1UM186000004 System Name : System Location : System Contact : Spanning Tree : Disabled GVRP : Disabled IGMP Snooping : Disabled MLD Snooping : Disabled VLAN Trunk : Disabled TELNET : Enabled (TCP 23) WEB : Enabled (TCP 80) SNMP : Disabled SSL Status : Disabled Команды «Show» являются удобным средством проверки состояния и параметров коммутатора, предоставляя информацию, требуемую для мониторинга и поиска неисправностей в работе коммутаторов. Ниже приведен список наиболее общих команд «Show». Подключение к Web-интерфейсу управления коммутатора Коммутаторы D-Link позволяют выполнять настройки через Web-интерфейс управления, который состоит из дружественного пользовательского графического интерфейса (GUI), запускающегося на клиенте, и НТТР-сервера, запускающегося на коммутаторе. Web-интерфейс является альтернативой командной строки, обеспечивает графическое представление интерфейса управления коммутатора в режиме реального времени и предоставляет подробную информацию о состоянии портов, модулей, их типе и т.д. Связь между клиентом и сервером обычно осуществляется через TCP/IP соединение с номером порта НТТР равным 80. При первом подключении к НТТР-серверу на коммутаторе, необходимо выполнить следующие шаги: 1. Проверить, что IP-адрес компьютера, с которого осуществляется управление, принадлежит той же подсети, что и IP-адрес коммутатора, если в сети не настроена маршрутизация. На компьютере запустить Web-браузер, в адресной строке которого ввести IP-адрес интерфейса управления коммутатора по умолчанию (обычно он указывается в руководстве пользователя). 2. В появившемся окне аутентификации, поля User name и Password необходимо оставить пустыми и нажать кнопку OK. После этого появится окно Web-интерфейса управления коммутатора. Если требуется изменить IP-адрес интерфейса управления на новый, то в случае использования управляемого коммутатора необходимо подключиться к его консольному порту и, используя интерфейс командной строки, выполнить следующую команду: config ipif System ipaddress xxx.xxx. xxx. xxx / yyy. yyy. yyy.yyy, где xxx.xxx.xxx.xxx – IP-адрес, yyy.yyy.yyy.yyy – маска подсети Проверить правильность настройки IP-адреса коммутатора можно с помощью команды: show ipif DES-3528#show ipif Command: show ipif IP Interface: System VLAN Name: default Interface Admin State: Enabled DHCPv6 Client State: Disabled Link Status: LinkUp IPv4 Address: 192.168.100.241/24 (Manual) Primary Proxy ARP: Disabled (Local : Disabled) IPv4 State: Enabled IPv6 State: Enabled Total Entries: 1 При использовании настраиваемых коммутаторов, изменить IP-адрес на новый можно с помощью программы Smart Console Utility, установленной на рабочую станцию, с которой осуществляется управление. Условно пользовательский интерфейс можно разделить на 3 области, как показано на рис. 2.6. Область 1 содержит список папок, объединяющих семейство функций, предназначенных для выполнения той или иной задачи. Например, в папке Configuration находятся функции, предназначенные для выполнения базовой конфигурации коммутатора, включая настройку IP-адреса, учетных записей пользователей, конфигурации портов и т.д. В папке L2 Features находятся функции 2 уровня, включая Jumbo Frame, 802.1Q VLAN, QinQ, 802.1v Protocol VLAN и т.д. Если щелкнуть кнопкой мыши по одной из папок и выбрать необходимую функцию, то в области 3 Web-интерфейса появится окно, предназначенное для ввода и/или выбора данных. Область 2 представляет собой графическое изображение передней панели коммутатора в режиме реального времени. Эта область отражает порты и модули расширения коммутатора, и их состояние. Загрузка нового программного обеспечения на коммутатор Добавление нового функционала или исправление имеющихся ошибок приводит к появлению новых версий программного обеспечения для коммутаторов D-Link, которые можно бесплатно загрузить с FTP-сервера компании ftp.dlink.ru. Новое программное обеспечение загружается на коммутатор с помощью протокола TFTP (Trivial File Transfer Protocol). В папку установленного сервера TFTP необходимо поместить файлы нового программного обеспечения. Сервер TFTP должен быть включен и находиться в той же IP-подсети, что и коммутатор, если в сети не настроена маршрутизация. В процессе обновления ПО нельзя выключать питание коммутатора. Некоторые модели управляемых коммутаторов D-Link могут хранить в памяти две версии прошивки, что позволяет обеспечить работоспособность устройства в случае проблем с одной из них. Администратор может указать, какая из прошивок будет загружаться при старте коммутатора. Для загрузки прошивки на коммутатор используется следующая команда (здесь приводится синтаксис коммутатора модели DES-3528; синтаксис команды в других моделях коммутаторов может отличаться): download firmware_fromTFTP < ipaddr > < path_filename64 >{image_id < int1-2 >}''' В качестве параметров команды необходимо указать IP-адрес сервера TFTP, путь к загружаемому файлу и его имя, например, C:\3528.had (можно не указывать полный путь к файлу, если он находится в рабочей директории TFTP-сервера), а также идентификатор загружаемой при старте прошивки. Например: DES-3528# download firmware _ fromTFTP 10.48.74.121 3528. had image _ id 1 Посмотреть информацию о хранимых в памяти коммутатора прошивках можно с помощью команды: '''show firmware information Для того чтобы изменить номер, загружаемой при старте коммутатора прошивки, необходимо выполнить команду: config firmware image_id < int 1-2 > boot_up Удалить файл ПО коммутатора можно с помощью команды: config firmware image_id < int 1-2 > delete Загрузка и резервное копирование конфигурации коммутатора Управляемые коммутаторы позволяют осуществлять загрузку и резервное копирование конфигурации на TFTP-сервер. Так же, как и в случае загрузки ПО, сервер TFTP должен быть включен и находиться в той же IP-подсети, что и коммутатор, если в сети не настроена маршрутизация. Для загрузки конфигурации на коммутатор используется следующая команда: download cfg_fromTFTP < ipaddr > < path_filename 64 > В качестве параметров команды надо указать IP-адрес сервера TFTP, путь к загружаемому файлу конфигурации, его имя. Например: DES-3528#download cfg_fromTFTP 10.48.74.121 /cfg/setting.txt Для сохранения текущей конфигурации на сервере TFTP, необходимо выполнить команду: upload cfg_toTFTP < ipaddr > < path_filename 64 > Например: DES-3528#upload cfg_toTFTP 10.48.74.121 /cfg/setting.txt Виртуальные локальные сети(VLAN) Типы VLAN В коммутаторах могут быть реализованы следующие типы VLAN: *на основе портов; *на основе стандарта IEEE 802.1Q; *на основе стандарта IEEE 802.1ad (Q-in-Q VLAN); *на основе портов и протоколов IEEE 802.1v; *на основе MAC-адресов; *асимметричные. Также для сегментирования сети на канальном уровне модели OSI в коммутаторах могут использоваться другие функции, например функция Traffic ''Segmentation''.' VLAN на основе портов При использовании VLAN на основе портов (Port-based VLAN), каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту. Это означает, что все пользователи, подключенные к этому порту, будут членами одной VLAN. Конфигурация портов статическая и может быть изменена только вручную. Рис. 3.3. VLAN на основе портов Перечислим основные характеристики VLAN на основе портов: 1. Применяются в пределах одного коммутатора. Если необходимо организовать несколько рабочих групп в пределах небольшой сети на основе одного коммутатора, например, необходимо разнести технический отдел и отдел продаж, то решение VLAN на базе портов оптимально подходит для данной задачи. 2. Простота настройки. Создание виртуальных сетей на основе группирования портов не требует от администратора большого объема ручной работы – достаточно каждому порту, находящемуся в одной VLAN, присвоить один и тот же идентификатор VLAN (VLAN ID). 3. Возможность изменения логической топологии сети без физического перемещения станций. Достаточно всего лишь изменить настройки порта, с одной VLAN (например, VLAN технического отдела) на другую (VLAN отдела продаж) и рабочая станция сразу же получает возможность совместно использовать ресурсы с членами новой VLAN. Таким образом, VLAN обеспечивают гибкость при перемещениях, изменениях и наращивании сети. 4. Каждый порт может входить только в одну VLAN. Для объединения виртуальных подсетей как внутри одного коммутатора, так и между двумя коммутаторами, нужно использовать сетевой уровень OSI-модели. Один из портов каждой VLAN подключается к интерфейсу маршрутизатора, который создает таблицу маршрутизации для пересылки кадров из одной подсети (VLAN) в другую (IP-адреса подсетей должны быть разными). Рис. 3.4. Объединение VLAN с помощью маршрутизирующего устройства Недостатком такого решения является то, что один порт каждой VLAN необходимо подключать к маршрутизатору, что приводит к дополнительным расходам на покупку кабелей и маршрутизатор, а также снижает количество сободных портов. Решить данную проблему можно двумя способами: использовать коммутаторы, которые позволяют включать порт в несколько VLAN, или использовать коммутаторы 3 уровня. VLAN на основе стандарта IEEE 802.1Q Построение VLAN на основе портов осуществляется только на добавлении дополнительной информации к адресным таблицам коммутатора и не использует возможности встраивания информации о принадлежности к виртуальной сети в передаваемый кадр. Виртуальные локальные сети, построенные на основе стандарта IEEE 802.1Q, используют дополнительные поля кадра для хранения информации о принадлежности к VLAN при его перемещении по сети. С точки зрения удобства и гибкости настроек, VLAN стандарта IEEE 802.1Q является лучшим решением, по сравнению с VLAN на основе портов. Его основные преимущества приведены ниже. 1. Гибкость и удобство в настройке и изменении – можно создавать необходимые комбинации VLAN как в пределах одного коммутатора, так и во всей сети, построенной на коммутаторах с поддержкой стандарта IEEE 802.1Q. Возможность добавления тегов позволяет информации о VLAN распространяться через множество 802.1Q-совместимых коммутаторов по одному физическому соединению (магистральному каналу, 'Trunk ''Link). 2. Позволяет активизировать алгоритм связующего дерева (Spanning Tree) на всех портах и работать в обычном режиме. Протокол Spanning Tree оказывается полезным при применении в крупных коммутируемых сетях и позволяет коммутаторам автоматически определять древовидную конфигурацию связей в сети при соединении портов между собой. Для нормальной работы коммутатора требуется отсутствие замкнутых маршрутов (петель) в сети. Эти маршруты могут создаваться администратором специально для образования резервных связей или же возникать случайным образом, что вполне возможно, если сеть имеет многочисленные связи, а кабельная система плохо структурирована или документирована. С помощью протокола Spanning Tree коммутаторы после построения схемы сети блокируют избыточные маршруты. Таким образом, автоматически предотвращается возникновение петель в сети. При этом необходимо понимать, что использование протоколов семейства STP приводит к снижению эффективности использования сетевой инфраструктуры, поскольку механизм предотвращения возникновения петель в сети отключает часть портов коммутаторов и связей между ними. 3. Способность VLAN IEEE 802.1Q добавлять и извлекать теги из заголовков кадров позволяет использовать в сети коммутаторы и сетевые устройства, которые не поддерживают стандарт IEEE 802.1Q. 4. Устройства разных производителей, поддерживающие стандарт IEEE 802.1Q, могут работать совместно, не используя какие-либо фирменные решения. 5. Чтобы связать подсети на сетевом уровне, необходим маршрутизатор или коммутатор L3. Однако для более простых случаев, например для организации доступа к серверу из различных VLAN, маршрутизатор не требуется. Для этого необходимо включить порт коммутатора, к которому подключен сервер, во все нужные подсети, а сетевой адаптер сервера должен поддерживать стандарт IEEE 802.1Q. Рис. 3.5. Передача кадров нескольких VLAN по магистральному каналу связи Некоторые определения IEEE 802.1Q *Tagging (Маркировка кадра) – процесс добавления информации о принадлежности к 802.1Q VLAN в заголовок кадра. *Untagging (Извлечение тега из кадра) – процесс извлечения информации о принадлежности к 802.1Q VLAN из заголовка кадра. *VLAN ID (VID) – идентификатор VLAN. *Port VLAN ID (PVID) – идентификатор порта VLAN. *Ingress port (Входной порт) – порт коммутатора, на который поступают кадры, и при этом принимается решение о принадлежности к VLAN. *Egress port (Выходной порт) – порт коммутатора, с которого кадры передаются на другие сетевые устройства – коммутаторы или рабочие станции, и, соответственно, на нем должно приниматься решение о маркировке. Любой порт коммутатора может быть настроен как ''tagg'ed (маркированный) или как ''untagged ''(немаркированный). Функция ''untagging ''позволяет работать с теми сетевыми устройствами виртуальной сети, которые не понимают тегов в заголовке кадра Ethernet. Функция ''tagging позволяет настраивать VLAN между несколькими коммутаторами, поддерживающими стандарт IEEE 802.1Q. Теги VLAN 802.1Q Стандарт IEEE 802.1Q определяет изменения в структуре кадра Ethernet, позволяющие передавать информацию о VLAN по сети. На рис. 3.7 изображен формат тега 802.1Q VLAN. К кадру Ethernet добавлены 32 бита (4 байта), которые увеличивают его размер до 1522 байт. Первые 2 байта (поле Tag Protocol Identifier, TPID) с фиксированным значение 0х8100 определяют, что кадр содержит тег протокола 802.1Q. Остальные 2 байта содержат следующую информацию: *''Priority (Приоритет)'' – 3 бита поля приоритета передачи кодируют до восьми уровней приоритета (от 0 до 7, где 7 – наивысший приоритет), которые используются в стандарте 802.1р; *''Canonical Format Indicator (CFI)'' – 1 бит индикатора канонического формата зарезервирован для обозначения кадров сетей других типов (Token Ring, FDDI), передаваемых по магистрали Ethernet; *''VID (VLAN ID)'' – 12-ти битный идентификатор VLAN определяет, какой VLAN принадлежит трафик. Поскольку под поле VID отведено 12 бит, то можно задать 4094 уникальных VLAN (VID 0 и VID 4095 зарезервированы). * * Port VLAN ID Каждый физический порт коммутатора имеет идентификатор порта ''VLAN (''PVID). Этот параметр используется для того, чтобы определить, в какую VLAN коммутатор направит немаркированный кадр с подключенного к порту сегмента, когда кадр нужно передать на другой порт (внутри коммутатора в заголовки всех немаркированных кадров добавляется идентификатор VID равный PVID порта, на который они были приняты). Этот механизм позволяет одновременно существовать в одной сети устройствам с поддержкой и без поддержки стандарта IEEE 802.1Q. Коммутаторы, поддерживающие протокол IEEE 802.1Q, должны хранить таблицу, связывающую идентификаторы портов PVID с идентификаторами VID сети. При этом каждый порт такого коммутатора может иметь только один PVID и столько идентификаторов VID, сколько поддерживает данная модель коммутатора. Если на коммутаторе не настроены VLAN, то все порты по умолчанию входят в одну VLAN с PVID = 1. Продвижение кадров VLAN 802.1Q Решение о продвижении кадра внутри виртуальной локальной сети принимается на основе трех следующих правил: *Правила входящего трафика (ingress ''rules'') – классификация получаемых кадров относительно принадлежности к VLAN. *Правила продвижения между портами (forwarding rules) – принятие решения о продвижении или отбрасывании кадра. *Правила исходящего трафика (egress rules) – принятие решения о сохранении или удалении в заголовке кадра тега 802.1Q перед его передачей. Правила входящего трафика выполняют классификацию каждого получаемого кадра относительно принадлежности к определенной VLAN, а также могут служить для принятия решения о приеме кадра для дальнейшей обработки или его отбрасывании на основе классификации и формата принятого кадра. Классификация кадра по принадлежности VLAN осуществляется следующим образом: *если кадр не содержит информацию о VLAN (немаркированный кадр), то в его заголовок коммутатор добавляет тег с идентификатором VID, равным идентификатору PVID порта, через который этот кадр был принят. *если кадр содержит информацию о VLAN (маркированный кадр), то его принадлежность к конкретной VLAN определяется по идентификатору VID в заголовке кадра. Значение тега в нем не изменяется. Активизировав функцию проверки формата кадра на входе, администратор сети может указать, кадры каких форматов будут приниматься коммутатором для дальнейшей обработки. Управляемые коммутаторы D-Link позволяют настраивать прием портами либо только маркированных кадров (tagged_only), либо обоих типов кадров – маркированных и немаркированных (admit_all). Рис. 3.8. Правила входящего трафика Правила продвижения между портами осуществляют принятие решения об отбрасывании или передаче кадра на порт назначения на основе его информации о принадлежности конкретной VLAN и МАС-адреса узла-приемника. Если входящий кадр маркированный, то коммутатор определяет, является ли входной порт членом той же VLAN путем сравнения идентификатора VID в заголовке кадра и набора идентификаторов VID, ассоциированных с портом, включая его PVID. Если нет, то кадр отбрасывается. Этот процесс называется ingress filtering (входной фильтрацией) и используется для сохранения пропускной способности внутри коммутатора путем отбрасывания кадров, не принадлежащих той же VLAN, что и входной порт, на стадии их приема. Если кадр немаркированный, входная фильтрация не выполняется. Далее определяется, является ли порт назначения членом той же VLAN. Если нет, то кадр отбрасывается. Если же выходной порт входит в данную VLAN, то коммутатор передает кадр в подключенный к нему сегмент сети. Правила исходящего трафика определяют формат исходящего кадра – маркированный или немаркированный. Если выходной порт является немаркированным (untagged), то он будет извлекать тег 802.1Q из заголовков всех выходящих через него маркированных кадров. Если выходной порт настроен как маркированный (tagged), то он будет сохранять тег 802.1Q в заголовках всех выходящих через него маркированных кадров. Рис. 3.9. Правила исходящего трафика На рис. 3.10–3.13 приведен пример передачи немаркированного и маркированного кадра через маркированный и немаркированный порты коммутатора. Рис. 3.10. Входящий немаркированный кадр Рис. 3.11. Немаркированный кадр, передаваемый через маркированный и немаркированный порты Рис. 3.12. Входящий маркированный кадр Рис. 3.13. Маркированный кадр, передаваемый через маркированный и немаркированный порты Пример настройки VLAN 802.1Q На рис. 3.14 показана схема сети, состоящая из двух групп VLAN. В качестве примера передачи данных между устройствами одной VLAN, построенной на нескольких коммутаторах, рассмотрим пересылку пакета с порта 5 коммутатора 1 на порт 6 коммутатора 3. Порт 5 коммутатора 1 является немаркированным портом VLAN v2 (PVID =2). Поэтому, когда любой немаркированный кадр поступает на порт 5, коммутатор снабжает его тегом 802.1Q со значением VID равным 2. Далее коммутатор 1 проверяет в своей таблице коммутации, через какой порт необходимо передать кадр и принадлежит ли этот порт VLAN v2. Кадр может быть передан через порт 1, т.к. он является маркированным членом VLAN v2. После передачи кадра через порт 1 тег 802.1Q в нем будет сохранен. После этого маркированный кадр поступит на порт 1 коммутатора 2. Прежде чем передать кадр дальше, порт 1 проверит, является ли он сам членом VLAN v2. Поскольку порт 1 коммутатора 2 является маркированным членом VLAN v2, он примет кадр и передаст его на порт 2, согласно таблице коммутации. После передачи кадра через порт 2 коммутатора 2 тег 802.1Q в нем будет сохранен, т.к. порт 2 является маркированным портом VLAN v2. Порт 1 коммутатора 3 примет поступивший кадр. После проверки на принадлежность к VLAN, порт 1 передаст кадр на порт 6, найденный в таблице коммутации коммутатора 4. Порт 6 является немаркированным портом VLAN v2, поэтому при выходе кадра через этот порт, тег 802.1Q из него будет удален. Рис. 3.14. Схема сети с двумя VLAN Ниже приведен пример настройки коммутаторов, позволяющий реализовать заданную схему сети VLAN. Настройка коммутатора 1 Удалить соответствующие порты из VLAN по умолчанию (default VLAN) и создать новые VLAN. config vlan default delete 1-12 create vlan v2 tag 2 create vlan v3 tag 3 В созданные VLAN добавить порты, для которых необходимо указать, какие из них являются маркированными и немаркированными. config vlan v2 add untagged 5-8 config vlan v2 add tagged 1-2 config vlan v3 add untagged 9-12 config vlan v3 add tagged 1-2 Настройка коммутатора 2 config vlan default delete 1-2 create vlan v2 tag 2 create vlan v3 tag 3 config vlan v2 add tagged 1-2 config vlan v3 add tagged 1-2 Настройка коммутаторов 3 config vlan default delete1-12 create vlan v2 tag 2 create vlan v3 tag 3 config vlan v2 add untagged 5-8 config vlan v2 add tagged 1 config vlan v3 add untagged 9-12 config vlan v3 add tagged 1 Статические и динамические VLAN Протокол GVRP Протокол GVRP Таймеры GVRP Q-in-Q VLAN VLAN на основе портов и протоколов – стандарт IEEE 802.1v Пример настройки IEEE 802.1v VLAN Асимметричные VLAN Примеры настройки асимметричных VLAN Функция Traffic Segmentation Примеры использования и настройки функции Traffic Segmentation Функции повышения надёжности и производительности Протоколы Spanning Tree Spanning Tree Protocol (STP) Понятие петель Построение активной топологии связующего дерева Bridge Protocol Data Unit (BPDU) Состояния портов Таймеры STP Изменение топологии Настройка STP Rapid Spanning Tree Protocol Роли портов Формат BPDU Быстрый переход в состояние продвижения Механизм предложений и соглашений Новый механизм изменения топологии Стоимость пути RSTP Совместимость с STP Настройка RSTP Multiple Spanning Tree Protocol Логическая структура MSTP Multiple Spanning Tree Instance (MSTI) Формат MSTP BPDU Вычисления топологий MSTP Роли портов MSTP Пример топологии MSTP Состояние портов MSTP Счетчик переходов MSTP Совместимость с STP и RSTP Настройка протокола MSTP на коммутаторах Дополнительные функции защиты от петель Настройка функции LoopBack Detection Функции безопасности STP Агрегирование каналов связи Настройка статических и динамических агрегированных каналов Адресация сетевого уровня и маршрутизация Сетевой уровень Обзор адресации сетевого уровня Формат пакета IPv4 Представление и структура адреса IPv4 Классовая адресация IPv4 Частные и публичные адреса IPv4 Формирование подсетей Бесклассовая адресация IPv4 Способы конфигурации IPv4-адреса Протокол IPv6 Формат заголовка IPv6 Представление и структура адреса IPv6 Типы адресов IPv6 Индивидуальные адреса Многоадресные адреса Альтернативные адреса Формирование идентификатора интерфейса Способы конфигурации IPv6-адреса Пример настройки автоматической конфигурации (Stateless autoconfiguration) адреса IPv6 Планирование подсетей IPv6 Протокол NDP Разрешение адресов IPv6 с помощью протокола NDP и определение недоступности соседа Пример настройки разрешения адресов с помощью протокола NDP Определение дублирования адресов Обнаружение маршрутизатора Понятие маршрутизации Процесс обработки пакета маршрутизирующим устройством Коммутация третьего уровня Статическая и динамическая маршрутизация Пример настройки статической маршрутизации IPv4 Пример настройки статической маршрутизации IPv6 Протоколы динамической маршрутизации Дистанционно-векторные протоколы маршрутизации Принцип работы дистанционно-векторного алгоритма маршрутизации Проблемы при функционировании дистанционно-векторного алгоритма маршрутизации Ограничение максимального числа переходов Метод расщепления горизонта Метод испорченного обратного маршрута Установка таймера удержания Триггерные обновления Протокол RIP Протокол RIPv1 Протокол RIPv2 Пример настройки протокола RIPv2 Протокол RIPng Качество обслуживания (Qos) Модели QoS При передаче по одной сети трафика потоковых мультимедийных приложений (Voice over IP (VoIP), IPTV, видеоконференции, он-лайн игры и др.) и трафика данных с различными требованиями к пропускной способности, необходимы механизмы, обеспечивающие возможность дифференцирования и обработки различных типов сетевого трафика в зависимости от предъявляемых ими требований. Негарантированная доставка данных (best effort service), традиционно используемая в сетях, построенных на основе коммутаторов, не предполагала проведения какой-либо классификации трафика и не обеспечивала надежную доставку трафика приложений, гарантированную пропускную способность канала и определенный уровень потери пакетов. Для решения этой проблемы было введено понятие качества обслуживания (Quality of Service, QoS). Функции качества обслуживания в современных сетях заключаются в обеспечении гарантированного и дифференцированного уровня обслуживания сетевого трафика, запрашиваемого теми или иными приложениями на основе различных механизмов распределения ресурсов, ограничения интенсивности трафика, обработки очередей и приоритезации. Можно выделить три модели реализации QoS в сети: *'Негарантированная доставка данных (Best Effort Service)' – обеспечивает связь между узлами, но не гарантирует надежную доставку данных, время доставки, пропускную способность и определенный приоритет. *'Интегрированные услуги (Integrated Services, IntServ)' – эта модель описана в RFC 1633 и предполагает предварительное резервирование сетевых ресурсов с целью обеспечения предсказуемого поведения сети для приложений, требующих для нормального функционирования гарантированной выделенной полосы пропускания на всем пути следования трафика. В качестве примера можно привести приложения IP-телефонии, которым для обеспечения приемлемого качества передачи голоса, требуется канал с минимальной пропускной способностью 64 Кбит/с (для кодека G.711). Модель IntServ использует сигнальный протокол RSVP (Resource Reservation Protocol, протокол резервирования ресурсов) для резервирования ресурсов для каждого потока данных, который должен поддерживаться каждым узлом на пути следования трафика. Эту модель также часто называют''жестким QoS (''Hard QoS) в связи с предъявлением строгих требований к ресурсам сети. *'Дифференцированное обслуживание (Differentiated Service, DiffServ)' – эта модель описана в RFC 2474, RFC 2475 и предполагает разделение трафика на классы на основе требований к качеству обслуживания. В архитектуре DiffServ каждый передаваемый пакет снабжается информацией, на основании которой принимается решение о его продвижении на каждом промежуточном узле сети, в соответствии с политикой обслуживания трафика данного класса (Per-Hop Behavior, PHB). Модель дифференцированного обслуживания занимает промежуточное положение между негарантированной доставкой данных и моделью IntServ и сама по себе не предполагает обеспечение гарантий предоставляемых услуг, поэтому дифференцированное обслуживание часто называют мягким QoS ''(''Soft QoS). Приоритезация пакетов Для обеспечения QoS на канальном уровне модели OSI коммутаторы поддерживают стандарт IEEE 802.1р. Стандарт IEEE 802.1р позволяет задать до 8 уровней приоритетов (от 0 до 7, где 7 – наивысший), определяющих способ обработки кадра, используя 3 бита поля приоритета тега IEEE 802.1Q. Для обеспечения QoS на сетевом уровне модели OSI в заголовке протокола IPv4 предусмотрено 8-битное поле ToS (Type of Service). Этот байт может быть заполнен либо значением приоритета IP Precedence, либо значением DSCP (Differentiated Services Code Point) в зависимости от решаемой задачи. Поле IP Precedence имеет размерность 3 бита и может принимать значения от 0 до 7. Оно используется для указания относительного приоритета обработки пакета на сетевом уровне. Поле DSCP было стандартизировано IETF с появлением модели DiffServ. Оно занимает 6 старших бит байта ToS и позволяют задать до 64 уровней приоритетов (от 0 до 63). По сути код DSCP является расширением 3-битового поля IP Precedence и обладает обратной совместимостью с IP-приоритетом. Классификация пакетов Для обеспечения дифференцированного обслуживания трафика, коммутаторы поддерживают в зависимости от модели от 4 до 8 аппаратных очередей приоритетов на каждом из своих портов. Для обеспечения требуемой очередности передачи пакетов данных в коммутаторе необходимо настроить алгоритм обслуживания очередей и карту привязки приоритетов 802.1р, ToS, DSCP к очередям. По умолчанию в коммутаторах D-Link используются следующие карты привязки пользовательских приоритетов 802.1р к аппаратным очередям: 4 очереди приоритетов 8 очередей приоритетов В коммутаторах с поддержкой 4-х очередей приоритетов очереди нумеруются от 0 до 3, где очередь 3 обладает наивысшим приоритетом, очередь 0 – низшим. В коммутаторах с поддержкой 8-ми очередей приоритетов очереди нумеруются от 0 (низший приоритет) до 7 (наивысший приоритет). Программное обеспечение коммутаторов позволяет настраивать карты привязки приоритетов 802.1р, ToS, DSCP к очередям в соответствии с требованиями пользователей. Для того чтобы поместить пакет в одну из очередей приоритетов в соответствии с заданной политикой QoS, коммутатор анализирует содержимое одного или нескольких полей его заголовка – приоритет 802.1р, IP-приоритет или поле DCSP в байте ToS. Этот процесс называется классификацией пакетов (packet classification). Следует отметить, что при этом коммутатор не изменяет значения приоритетов внутри пакетов, а только определяет очередность и способ их обработки выходным портом, основываясь на реализованной в нем политике QoS. В том случае, если на входной порт коммутатора поступает немаркированный кадр (заголовок кадра не содержит битов приоритета), то его классификация осуществляется на основе значения приоритета 802.1р по умолчанию, назначенного данному порту. Также для классификации пакетов данных на основании различных параметров их заголовков, например МАС-адреса, IP-адреса, номера порта TCP/UDP, тега VLAN и т.д. могут использоваться списки управления доступом (Access Control List, ACL). Маркировка пакетов После процесса классификации коммутатор может осуществить маркировку пакетов (packet marking). Маркировка пакетов определяет способ записи/перезаписи значений битов приоритета (DSCP, 802.1p или IP Precedence) входящих пакетов данных. Обычно процесс маркировки выполняется на граничных устройствах и позволяет последующим коммутаторам/маршрутизаторам использовать новое значение приоритета пакета данных для отнесения его к одному из поддерживаемых в сети классов обслуживания. Изменить значения битов приоритета в заголовках входящих пакетов данных можно с помощью списков управления доступом. Управление перегрузками и механизмы обслуживания очередей Наиболее часто перегрузка сети возникает в местах соединения коммутаторами сетей с разной полосой пропускания. В случае возникновения перегрузки сети пакеты начинают буферизироваться и распределяться по очередям. Порядок передачи через выходной интерфейс поставленных в очередь пакетов данных на основе их приоритетов определяется механизмом обслуживания очередей (Queuing mechanism), который позволяет управлять пропускной способностью сети при возникновении перегрузок. Механизм управления перегрузками (Congestion management) включает следующие механизмы обслуживания очередей: *механизм FIFO (First-In, First-Out); *очереди приоритетов (Priority Queuing); *взвешенный алгоритм кругового обслуживания (Weighted Round Robin, WRR); *настраиваемые очереди (Custom Queuing). В коммутаторах D-Link для обслуживания очередей используются взвешенный алгоритм кругового обслуживания, очереди приоритетов и комбинации этих методов. Механизм обслуживания очередей FIFO («первым пришел, первым ушел») передает пакеты, поставленные в очередь в том порядке, в котором они поступили в нее. Этот механизм не обеспечивает классификации пакетов и рассматривает их как принадлежащие одному классу. Очереди приоритетов со строгим режимом (Strict Priority Queue) предполагают передачу трафика строго в соответствии с приоритетом выходных очередей. В этом механизме предусмотрено наличие 4-х очередей – с высоким, средним, обычным и низким приоритетами обслуживания. Пакеты, находящиеся в очереди с высоким приоритетом, обрабатываются первыми. Пакеты из следующей по приоритету обслуживания очереди начнут передаваться только после того, как опустеет высокоприоритетная очередь. Например, пакеты из средней по приоритету очереди не будут передаваться до тех пор, пока не будут обслужены пакеты из высокоприоритетной очереди. Пакеты из очереди с нормальным приоритетом не начнут передаваться до тех пор, пока не опустеет очередь со средним приоритетом и т.д. Следует отметить, что пакеты очереди с высоким приоритетом всегда получают предпочтение при обслуживании независимо от количества пакетов в других очередях и времени, прошедшего с момента передачи последнего пакета из очереди с низким приоритетом. В некоторых случаях это может привести к «зависанию» обслуживания низкоприоритетного трафика, т.е.пакеты из очередей с низким приоритетом будут долго не обрабатываться. По умолчанию на коммутаторах D-Link настроены очереди приоритетов со строгим режимом. Еще одним механизмом обслуживания очередей является взвешенный алгоритм кругового обслуживания (Weighted Round Robin, WRR). Этот механизм исключает главный недостаток очередей приоритетов, обеспечивая обработку очередей в соответствии с назначенным им весом и предоставляя полосу пропускания для пакетов из низкоприоритетных очередей. Процесс обработки очередей осуществляется по круговому принципу, начиная с самой приоритетной очереди. Из каждой непустой очереди передается некоторый объем трафика, пропорциональный назначенному ей весу, после чего выполняется переход к следующей по убыванию приоритета очереди и т.д. по кругу. Механизм предотвращения перегрузок Механизм предотвращения перегрузок (Congestion avoidance) – это процесс выборочного отбрасывания пакетов с целью избежания перегрузок в сети в случае достижения выходными очередями своей максимальной длины (в пакетах). Традиционной политикой обработки пакетов коммутаторами в случае переполнения всех выходных очередей является их отбрасывание, которое продолжается до тех пор, пока длина очередей не уменьшится за счет передачи находящихся в них пакетов. Такой алгоритм управления длиной выходных очередей получил название «''отбрасывание хвоста''» (Tail-Drop). Отбрасывание пакета будет служить сигналом о перегрузке сети источнику ТСР-соединения, т.к.он не получит подтверждения о доставке пакета от приемника ТСР-соединения. В этом случае он уменьшит скорость передачи путем уменьшения размера окна перегрузки до одного сегмента и перезапустит алгоритм медленного старта (slow start). Поскольку коммутатор обрабатывает множество ТСР-потоков в один момент времени, отбрасывание пакетов послужит сигналом о перегрузке тысячам источникам ТСР-соединений, которые снизят скорость передачи. При этом почти все источники ТСР-соединений будут использовать одинаковое время таймеров задержки перед началом увеличения скорости передачи. Значения этих таймеров достигнут своего лимита практически в одно и тоже время, что вызовет увеличение интенсивности трафика и переполнение очередей, которое приведет к отбрасыванию пакетов, и весь процесс повторится вновь. Процесс, когда каждый источник ТСР-соединения уменьшает и увеличивает скорость передачи одновременно с другими источниками ТСР-соединений, получил название эффекта глобальной синхронизации (global synchronization). Эффект глобальной синхронизации приводит к неэффективному использованию полосы пропускания, а также к возрастанию задержки передачи пакетов. Для решения проблемы поведения источников ТСР-соединения в момент отбрасывания пакетов был разработан алгоритм произвольного раннего обнаружения (Random Early Detection, RED). В отличие от алгоритма «отбрасывания хвоста», алгоритм RED отбрасывает поступающие пакеты вероятностно, на основе оценки среднего размера очередей. Средний размер очереди сравнивается с двумя пороговыми значениями – минимальным и максимальным. Если средний размер очереди превысит определенное минимальное пороговое значение, то пакеты начинают отбрасываться с некоторой вероятностью. Это позволяет избежать эффекта глобальной синхронизации, т.к. будут отбрасываться не все пакеты, а только пакеты произвольным образом выбранных потоков. Интенсивность отбрасывания пакетов возрастает прямо пропорционально возрастанию среднего размера очереди. Когда средний размер очереди превысит максимальное пороговое значение, алгоритм RED будет отбрасывать все пакеты, предназначенные для постановки в очередь. В коммутаторах D-Link поддерживается простойалгоритм произвольного раннего обнаружения (Simple Random Early Detection, SRED), который является расширенной версией алгоритма RED, реализованной на основе ASIC, и выполняет вероятностное отбрасывание входящих «окрашенных» пакетов. «Окрашивание» пакетов позволяет реализовать разные политики обслуживания пакетов (различную вероятность отбрасывания) на основе их приоритетов. Так пакеты, «окрашенные» в зеленый цвет обладают наивысшим приоритетом. Пакеты «окрашенные» в желтый цвет – средним, в красный цвет – низшим приоритетом. Алгоритм SRED позволяет задавать два пороговых значения размера для каждой очереди – минимальное и максимальное. Если длина очереди меньше минимального порогового значения, то пакеты будут помещаться в очередь. Если размер очереди будет находиться в интервале между минимальным и максимальным пороговыми значениями, т.е. будет наблюдаться умеренная перегрузка, то пакеты «окрашенные» в красные и желтые цвета будут отбрасываться с заданной вероятностью. Если длина очереди превысит максимальное пороговое значение, то пакеты любых цветов будут отбрасываться с заданной вероятностью. Т.е. алгоритм SRED обеспечивает возможность настройки более интенсивного отбрасывания пакетов низкоприоритетного трафика и менее интенсивного отбрасывания пакетов высоко приоритетного трафика. В коммутаторах D-Link при настройке SRED существует возможность выбора из восьми значений скоростей(вероятностей) отбрасывания пакетов: Контроль полосы пропускания Современные коммутаторы позволяют регулировать интенсивность трафика на своих портах с целью обеспечения функций качества обслуживания. Для этого они используют механизмы, называемые Traffic Policing ''(ограничение трафика) и ''Traffic Shaping(выравнивание трафика). Механизм Traffic Policing служит для ограничения скорости трафика, получаемого или отправляемого с интерфейса коммутатора. Когда эта функция активна, администратор может устанавливать различные пороговые значения скорости передачи на каждом из выходных портов коммутатора. Трафик, скорость которого меньше или равна пороговому значению, будет передаваться; трафик, скорость которого превышает пороговое значение, будет обрабатываться в соответствии с настроенной политикой, например, отбрасываться или маркироваться новым значением приоритета. Основным средством, используемым для ограничения трафика, является хорошо известный алгоритм «''корзина маркеров''» (token bucket). Этот алгоритм предполагает наличие следующих параметров: *'Согласованная скорость передачи (Committed Information Rate, CIR) '– средняя скорость передачи трафика через интерфейс коммутатора/маршрутизатора. Этот параметр также определяет скорость помещения маркеров в корзину. *'Согласованный размер всплеска(Committed Burst Size, CBS)' – это объем трафика (в битах), на который может быть превышен размер корзины маркеров в отдельно взятый момент всплеска. *'Расширенный размер всплеска (Extended Burst Size, EBS) – 'это объем трафика(в битах), на который может быть превышен размер корзины маркеров в экстренном случае. На рис. 6.9 показана схема реализации алгоритма «корзина маркеров» в рамках механизма Traffic Policing. Размер стандартной корзины маркеров (максимальное число маркеров, которое она может вместить) равен согласованному размеру всплеска (CBS). Маркеры генерируются и помещаются в корзину с определенной скоростью (CIR). Если корзина полна, то поступающие избыточные маркеры отбрасываются. Для того чтобы передать пакет из корзины вынимается число маркеров, равное размеру пакета в битах. Если маркеров в корзине достаточно, то пакет передается. Если размер пакета оказался больше, чем маркеров в корзине, то маркеры из корзины не извлекаются, а пакет рассматривается как «не удовлетворяющий» (non-conform) заданному профилю или избыточный. Для избыточных пакетов могут применяться различные способы обработки: они могут отбрасываться или перемаркировываться. Стандартная корзина маркеров не поддерживает экстренное увеличение размера всплеска, поэтому в такой реализации расширенный размер всплеска (ЕBS) равен согласованному размеру всплеска (CBS). В корзине маркеров с возможностью экстренного увеличения размера всплеска расширенный размер всплеска (ЕBS) больше согласованного размера всплеска (CBS). Объем трафика (в битах), на который может быть превышен размер корзины, рассчитывается по формуле: CBS = 1,5 х CIR /8 ЕBS = 2 х CBS При такой реализации корзины маркеров, в случае нехватки маркеров, необходимых для передачи пакета, учитывается расширенный размер всплеска. Механизм Traffic Shaping служит для сглаживания исходящего с интерфейсов коммутатора трафика. В отличие от механизма Traffic Policing, который в случае превышения скорости трафика заданного порогового значения может отбрасывать пакеты, механизм Traffic Shaping помещает избыточные пакеты в буфер. В качестве средства выравнивания трафика, механизм Traffic Shaping также использует алгоритм «корзина маркеров». В соответствии с механизмом Traffic Shaping, из корзины вынимается число маркеров, равное размеру пакета в битах. Если в корзине имелось достаточное количество маркеров, то пакет передается. В противном случае пакет маркируется как неудовлетворяющий заданному профилю и ставится в очередь (буферизируется) для последующей передачи. Как только в корзине накопится количество маркеров, достаточное для передачи пакета, он будет передан. Следует отметить, что механизм Traffic Shaping вносит задержку в передачу трафика, что критично для приложений чувствительных к задержкам, таким как IP-телефония, потоковое видео и т.д. Однако этот механизм более дружествен к ТСР-потокам, т.к. благодаря буферизации уменьшается количество отбрасываемых пакетов и число их повторных передач. Для управления полосой пропускания входящего и исходящего трафика на портах Ethernet коммутаторы D-Link поддерживают функцию Bandwidth control, которая использует для ограничения скорости механизм Traffic Policing. Администратор сети может вручную устанавливать требуемую скорость соединения на порте в диапазоне от 64 Кбит/с до максимально поддерживаемой скорости интерфейса с шагом 64 Кбит/с. В качестве примера приведем настройку ограничения скорости до 128 Кбит/с для трафика, передаваемого с интерфейса 5 коммутатора. config bandwidth_control 5 tx_rate 128 Более гибким решением ограничения полосы пропускания является функция per-flow Bandwidth control, реализованная на старших моделях управляемых коммутаторов D-Link. Эта функция позволяет ограничивать полосу пропускания не всему трафику, получаемому или передаваемому с интерфейса коммутатора, а конкретным потокам данных, определенным администратором сети. Функция per-flow Bandwidth control использует механизм списков управления доступом для просмотра определенного типа трафика и ограничения для него полосы пропускания. Весь этот процесс происходит на микросхемах портов ASIC. Таким образом, это не влияет на загрузку CPU и соответственно не снижает производительность коммутатора. Пример настройки QoS На рис. 6.11 приведена схема локальной сети, в которой пользователи 1 и 3 используют приложения IP-телефонии. Голосовому трафику пользователей 1 и 3 требуется обеспечить наивысшее качество обслуживания по сравнению с трафиком других приложений, выполняемых на компьютерах остальных пользователей сети. Настройка коммутатора 1 Для того чтобы внутри коммутатора могла обрабатываться информация о приоритетах 802.1р, состояние портов коммутатора, к которым подключены пользователи необходимо перевести из «немаркированные» в «маркированные». config vlan default add tagged 1-6 Изменить приоритет порта 18, к которому подключен пользователь 3, использующий приложения IP-телефонии с 0 (установлено по умолчанию) на 7. Пакеты с приоритетом 7 будут помещаться в очередь Q6, которая имеет наивысший приоритет обработки. config 802.1p default _ priority 18 7 Настройка коммутатора 2 Изменить состояния портов с «немаркированные» на «маркированные» config vlan default add tagged 1-6 Изменить приоритет порта 16, к которому подключен пользователь 1, использующий приложения IP-телефонии с 0 (установлено по умолчанию) на 7. Пакеты с приоритетом 7 будут помещаться в очередь Q6, которая имеет наивысший приоритет обработки. config 802.1p default _ priority 16 7 Карта привязки приоритетов 802.1р к очередям и механизм обслуживания очередей не изменяются и используют параметры настроенные по умолчанию. Функции обеспечения безопасности и ограничения доступа к сети Для любого системного администратора одной из наиболее важных задач остается обеспечение безопасности компьютерной сети. Эту задачу призваны решать межсетевые экраны, однако зачастую «первый удар» принимают на себя именно коммутаторы, поэтому в настоящее время они обладают широкими функциональными возможностями для обеспечения безопасности. Речь идет не только о защите сетей от атак извне, а в большей степени о всевозможных атаках внутри сети, таких как подмена DHCP-сервера, атаки типа DoS, ARP Spoofing, неавторизованный доступ и т.д. В некоторых случаях коммутаторы не способны полностью защитить сеть от подобного рода атак, но могут значительно ослабить угрозы их возникновения. Данная глава будет посвящена основным принципам обеспечения сетевой безопасности на базе оборудования D-Link. D-Link предлагает комплексный подход к решению вопросов обеспечения безопасности End-to-EndSecurity (E2ES), который включает в себя следующие решения: * Endpoint Security ''(Защита конечного пользователя) – обеспечивает защиту внутренней сети от внутренних атак; * ''Gateway Security ''(Защита средствами межсетевых экранов) – обеспечивает защиту внутренней сети от внешних атак; * ''Joint Security ''(Объединенная безопасность) – связующее звено между Endpoint и Gateway Security, объединяющее использование межсетевых экранов и коммутаторов для защиты сети. Прежде чем приступить к рассмотрению темы, уточним некоторые понятия. 'Аутентификация''' – процедура проверки подлинности субъекта на основе предоставленных им о себе данных в какой-либо форме (логин – пароль, цифровой сертификат, сведения биометрического датчика и т. д). Авторизация – предоставление субъекту определенных прав (полномочий) на выполнение некоторых действий. Как правило, за аутентификацией следует авторизация. Решение Endpoint Security включает следующие функции, обеспечивающие аутентификацию и авторизацию пользователей, контроль над трафиком, узлами и их адресацией в сети. Функции аутентификации пользователей: * аутентификация IEEE 802.1Х; * MAC-based Access Control (MAC); * WEB-based Access Control (WAC). Функции авторизации: * Guest VLAN. Функции контроля над трафиком: * Traffic Segmentation; * Access Control List (ACL). Функции контроля над подключением/адресацией узлов в сети: * Port Security; * IP-MAC-Port Binding (IMPB). Функции ослабления атакв сети: * Access Control List (ACL); * IP-MAC-Port Binding (IMPB); * Broadcast Storm Control; * ARP Spoofing Prevention; * LoopBack Detection (LBD). Решение Joint Security включает в себя функции: * Zone Defense; * NAP. Помимо основных функций безопасности, в коммутаторах D-Link реализованы дополнительные решения, позволяющие обнаруживать аномальные потоки кадров в сети Ethernet и уменьшать загрузку ЦПУ в результате множественных широковещательных запросов, вызванных атаками типа ARP Flood: * D-Link Safeguard Engine; * Traffic Storm Control. Списки управления доступом (ACL) Списки управления доступом (Access Control List, ACL) являются средством фильтрации потоков данных без потери производительности, так как проверка содержимого пакетов данных выполняется на аппаратном уровне. Фильтруя потоки данных, администратор может ограничить типы приложений, разрешенных для использования в сети, контролировать доступ пользователей к сети и определять устройства, к которым они могут подключаться. Также ACL могут использоваться для определения политики QoS путем классификации трафика и переопределения его приоритета. ACL представляют собой последовательность условий проверки параметров пакетов данных. Когда сообщения поступают на входной порт, коммутатор проверяет параметры пакетов данных на совпадение с критериями фильтрации, определенными в ACL, и выполняет над пакетами одно из действий: Permit (Разрешить) или Deny (Запретить). Критерии фильтрации могут быть определены на основе следующей информации, содержащейся в пакете данных: *порт коммутатора; *MAC/IP-адрес; *тип Ethernet /тип протокола; *VLAN ; *802.1p/DSCP ; *порт TCP/UDP (тип приложения); *первые 80 байт пакета, включая поле данных. Профили доступа и правила ACL Списки управления доступом состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев фильтрации, которые должны проверяться в пакете данных (MAC-адрес, IP-адрес, номер порта, VLAN и т.д.), а в правилах непосредственно указываются значения их параметров. Каждый профиль может состоять из множества правил. Когда коммутатор получает кадр, он проверяет его поля на совпадение с типами критериев фильтрации и их параметрами, заданными в профилях и правилах. Последовательность, в которой коммутатор проверяет кадр на совпадение с параметрами фильтрации, определяется порядковым номером профиля (Profile ID) и порядковым номером правила (Rule ID). Профили доступа и правила внутри них работают последовательно, в порядке возрастания их номеров, т.е. кадр проверяется на соответствие условиям фильтрации, начиная с первого профиля и первого правила в нем. Так, кадр сначала будет проверяться на соответствие условиям, определенным в правиле 1 профиля 1. Если параметры кадра не подходят под условия проверки, то далее кадр будет проверяться на совпадение с условиями, определенными в правиле 2 профиля 1 и т.д. Если ни одно из правил текущего профиля не совпало с параметрами кадра, то коммутатор продолжит проверку на совпадение параметров кадра с условиями правила 1 следующего профиля. При первом совпадении параметров кадра с правилом, к нему будет применено одно из действий, определенных в правиле: «Запретить», «Разрешить» или «Изменить содержимое поля пакета» (приоритет 802.1р/ DSCP). Далее кадр проверяться не будет. Если ни одно из правил не подходит, то применяется политика по умолчанию, разрешающая прохождение всего трафика. Следует отметить, что коммутаторы имеют ограничения по количеству обрабатываемых профилей и правил. Информацию о максимальном количестве поддерживаемых профилей и правил можно найти в документации на используемое устройство. Типы профилей доступа В коммутаторах D-Link существует три типа профилей доступа: Ethernet, IP и Packet Content Filtering (фильтрация по содержимому пакета). Профиль Ethernet ''(Ethernet Profile) позволят фильтровать кадры по следующим типам критериев: *VLAN; *MAC-адрес источника; *MAC-адрес назначения; *802.1p; *тип Ethernet. ''Профиль IP ''(IP Profile) поддерживает следующие типы критериев фильтрации: *VLAN; *маска IP-источника; *маска IP-назначения; *DSCP; *протокол (ICMP, IGMP, TCP, UDP); *номер порта TCP/UDP. ''Профиль фильтрации по содержимому пакета (Packet Content Filtering Profile) используется для идентификации пакетов путем побайтного исследования их заголовков Ethernet. Процесс создания профиля доступа Процесс создание профиля доступа можно разделить на следующие основные шаги'.' 1. Анализ задачи фильтрации и определение типа профиля доступа – Ethernet, IP или Packet Content Filtering; 2. Определение стратегии фильтрации. Например: *отбрасывать пакеты данных некоторых узлов и принимать пакеты данных от всех остальных узлов – эта стратегия применима для сетевой среды с несколькими узлами/протоколами портов/подсетями, для которых необходимо выполнять фильтрацию; *принимать пакеты данных от некоторых узлов и отбрасывать пакеты данных всех остальных узлов – эта стратегия применима для сетевой среды с несколькими узлами/протоколами портов/подсетями, пакеты данных от которых разрешены в сети. Трафик остальных узлов будет отбрасываться. Основываясь на выбранной стратегии, необходимо определить, какая маска профиля доступа (Access Profile Mask) требуется, и создать ее (команда create access _ profile). Маска профиля доступа используется для указания, какие биты значений полей IP-адрес, МАС-адрес, порт ТСР/ UDP и т.д. должны проверяться в пакете данных, а какие игнорироваться. 3. Добавить правило профиля доступа (Access Profile Rule), связанное с этой маской (команда config access _ profile). 4. Правила профиля доступа проверяются в соответствии с номером access _ id. Чем меньше номер, тем раньше проверяется правило. Если ни одно правило не сработало, пакет данных пропускается. 5. В среде QoS, после того как срабатывает правило, перед отправкой пакета данных биты 802.1p/DSCP могут быть заменены на новые низко/высокоприоритетные значения. Вычисление маски профиля доступа Маска профиля доступа определяет, какие биты в значениях полей IP-адрес, МАС-адрес, порт ТСР/ UDP и т.д. приходящих на коммутатор пакетов данных, должны проверяться, а какие - игнорироваться. Биты маски имеют следующие значения: «0» – игнорирование значения соответствующего бита поля пакета данных; «1» – проверка значения соответствующего бита поля пакета данных. Предположим, администратору сети необходимо запретить прохождение трафика от узла с МАС-адресом 01-00-00-00-АС-11. Маска профиля доступа для этого адреса будет равна FF-FF-FF-FF-FF-FF. Если необходимо запретить или разрешить прохождение через коммутатор трафика любого узла из подсетей 192.168.16.0/24 – 192.168.31.0/24, то маска профиля доступа будет вычисляться, как показано на рисунке ниже. Первые два октета IP-адресов из проверяемого диапазона имеют одинаковое значение – «192.168». Они будут использоваться при проверке пакета, поэтому соответствующие биты маски содержат все 1. Последний октет IP-адреса, будет игнорироваться, так как нет заинтересованности в проверке индивидуальных адресов узлов подсетей. Поэтому последний октет маски профиля содержит все 0. В третьем октете значение маски будет равно 240 (11110000), так как оно охватывает все номера с 16 (00010000) до 31 (0001111), имеющие одинаковые значения (0001) первых четырех битов. Последние четыре бита третьего октета IP-адреса, маска профиля будет игнорировать, как незначащие. Примеры настройки ACL Предположим, что администратору необходимо разрешить доступ в Интернет только некоторым пользователям, которые идентифицируются по МАС-адресам их компьютеров. В примере, показанном на рис. 7.4., пользователи ПК 1 и ПК 2 получат доступ в Интернет, так как их МАС-адреса указаны в разрешающем правиле 1. Как только пользователи других компьютеров попытаются выйти в Интернет, сработает правило 2, которое запрещает прохождение через коммутатор кадров с МАС-адресом назначения, равным МАС-адресу Интернет-шлюза. Настройка коммутатора для профиля Ethernet Правило 1: если МАС-адрес источника Source MAC равен МАС-адресам ПК 1 или ПК 2 – разрешить (Permit). create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF profile_id 1 profile_name Permit_Internet config access_profile profile_id 1 add access_id 1 ethernet source_mac 00-50-ba-11-11-11 port 1 permit config access_profile profile_id 1 add access_id 2 ethernet source_mac 00-50-ba-22-22-22 port 10 permit Правило 2: если МАС-адрес назначения DestMAC равен MAC-адресу Интернет-шлюза –запретить (Deny). create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 2 profile_name Deny_Internet config access_profile profile_id 2 add access_id 1 ethernet destination_mac 00-50-ba-99-99-99 port 11 deny По умолчанию доступ всем остальным узлам разрешен. В качестве второго примера приведем настройку ACL с профилем IP. Предположим, что администратору необходимо разрешить доступ в Интернет только пользователям с IP-адресами с 192.168.0.1/24 по 192.168.0.63/24. Остальным пользователем сети 192.168.0.0/24 с адресами, не входящими в разрешенный диапазон, доступ в Интернет запрещен. Настройка в коммутаторе L3 профиля IP Правило 1: если IP-адрес источника Source IP равен IP-адресам из диапазона с 192.168.0.1 по 192.168.0.63 – разрешить (Permit). create access_profile ip source_ip_mask 255.255.255.192 profile_id 1 config access_profile profile_id 1 add access_id 1 ip source_ip 192.168.0.0 port 24 permit Правило 2: если IP-адрес источника Source IP принадлежит сети 192.168.0.0/24, но не входит в разрешенный диапазон адресов – запретить (Deny). create access_profile ip source_ip_mask 255.255.255.0 profile_id 2 config access_profile profile_id 2 add access_id 1 ip source_ip 192.168.0.0 port 24 deny По умолчанию доступ всем остальным узлам разрешен. Функции контроля над подключением узлов к портам коммутатора В том случае, если какой-либо порт коммутатора активен, к нему может подключиться злоумышленник и получить несанкционированный доступ к сети: этот пользователь может начать генерировать вредоносный трафик, который создаст проблемы в сети. Для защиты от подобных ситуаций, а также для контроля подключения узлов к портам коммутаторы D-Link предоставляют функции безопасности, которые позволяют указывать МАС- и/или IP -адреса устройств, которым разрешено подключаться к данному порту, и блокировать доступ к сети узлам с неизвестными коммутатору адресами. Функция Port Security Функция Port Security 'позволяет настроить какой-либо порт коммутатора так, чтобы доступ к сети через него мог осуществляться только определенными устройствами. Устройства, которым разрешено подключаться к порту определяются по МАС-адресам. МАС-адреса могут быть изучены динамически или вручную настроены администратором сети. Помимо этого, функция Port Security позволяет ограничивать количество изучаемых портом МАС-адресов, тем самым, ограничивая количество подключаемых к нему узлов. 'Внимание: 'для функции Port Security существуют ограничения по количеству МАС-адресов, которые может обслуживать каждый порт. Эти ограничения различны для разных моделей коммутаторов. Для получения информации о максимальном количестве обслуживаемых портом МАС-адресов, необходимо обратиться к спецификации на используемое устройство. Существует три режима работы функции Port Security: *''Permanent ''(Постоянный) – занесенные в таблицу коммутации МАС-адреса никогда не устаревают, даже если истекло время, установленное таймером FDB Aging Time, или коммутатор был перезагружен. *''Delete on Timeout ''(Удалить при истечении времени) – занесенные в таблицу коммутации МАС-адреса устареют после истечения времени, установленного таймером FDB Aging Time, и будут удалены. Если состояние канала связи на подключенном порте изменяется, МАС-адреса, изученные на нем, удаляются из таблицы коммутации, что аналогично выполнению действий при истечении времени, установленного таймером FDB Aging Time. *''Delete on Reset ''(Удалить при сбросе настроек) – занесенные в таблицу коммутации МАС-адреса будут удалены после перезагрузки коммутатора (этот режим используется по умолчанию). При подключении неавторизованного пользователя к порту коммутатора, он будет заблокирован, а коммутатор отправит сообщение SNMP Trap или создаст запись в Log-файле, если администратор настроил выполнение этих действий. Порт коммутатора будет отбрасывать трафик, поступающий с неизвестного МАС-адреса. Пример настройки функции Port Security Функция IP-MAC-Port Binding Пример настройки функции IP-MAC-Port Binding Аутентификация пользователей 802.1x Роли устройств в стандарте 802.1х Port-Based 802.1х MAC-Based 802.1х Состояние портов коммутатора Состояние порта коммутатора определяется успехом или неудачей аутентификации клиента. Изначально порт находится в ''неавторизованном состоянии, при этом он запрещает прохождение всего входящего и исходящего трафика за исключением пакетов EAPOL. После аутентификации порт переходит в ''авторизованное ''состояние, позволяя передачу через него любого трафика. Возможны различные ситуации, когда клиент или коммутатор не поддерживают 802.1X. Если клиент, не поддерживающий 802.1X, подключается к неавторизованному порту 802.1X, коммутатор посылает клиенту запрос на авторизацию. Поскольку в этом случае, клиент не ответит на запрос, порт останется в неавторизованном состоянии, и клиент не получит доступ к сети. В случае, когда клиент с поддержкой 802.1X подключается к порту, на котором не поддерживается протокол 802.1X, он начинает процесс аутентификации, посылая кадр EAPOL-start. Не получив ответа, клиент посылает запрос определенное количество раз. Если после этого ответ не получен, клиент, считая, что порт находится в авторизованном состоянии, начинает передавать данные. В случае, когда и клиент, и коммутатор поддерживают 802.1X, при успешной аутентификации клиента порт переходит в авторизованное состояние и начинает передавать все кадры клиента. Если в процессе аутентификации возникли ошибки, порт остается вне авторизованном состоянии, но процедура аутентификации в любой момент может быть запущена заново. Если сервер аутентификации не отвечает, коммутатор может повторно передать запрос аутентификации. Если от сервера не получен ответ после определенного количества попыток, клиенту будет отказано в доступе к сети из-за ошибок аутентификации. Для снижения вероятности возникновения такой ситуации на коммутаторе можно настроить параметры доступа к нескольким серверам RADIUS. При завершении клиентом сеанса работы он посылает сообщение EAPOL-logoff, переводящее порт коммутатора в неавторизованное состояние. Порт становится неавторизованным также и при переходе статуса канала связи в неактивное (down) состояние. 802.1х Guest VLAN Пример настройки 802.1х Guest VLAN Функции защиты ЦПУ коммутатора При возникновении в сети широковещательных штормов, вызванных неправильной настройкой оборудования или сетевыми атаками, может возникнуть проблема, связанная с перегрузкой ЦПУ коммутатора и его недоступностью для выполнения важных сетевых задач. В коммутаторах D-Link реализованы функции '''Safeguard Engine и CPU Interface Filtering, обеспечивающие защиту ЦПУ от обработки нежелательных пакетов и повышающих общую отказоустойчивость и доступность сети. Функция Safeguard Engine Функция Safeguard Engine разработана для обеспечения доступности коммутатора в ситуациях, когда в результате наводнения сети вредоносным трафиком его ЦПУ испытывает сильную загрузку и не может надлежащим образом обрабатать пакеты протоколов STP/RSTP/MSTP, IGMP, предоставлять административный доступ через Web-интерфейс, CLI, SNMP и выполнять другие задачи, требующие обработки на ЦПУ. Функция Safeguard Engine позволяет идентифицировать и приоритезировать направляемый для обработки на ЦПУ трафик (например, ARP-широковещание, пакеты с неизвестным IP-адресом назначения и т.д.) с целью отбрасывания нежелательных пакетов для сохранения функциональности коммутатора. При получении коммутатором с включенной функцией Safeguard Engine большого количества пакетов, предназначенных для обработки на ЦПУ, и превышающего установленное верхнее пороговое значение Rising Threshold, он переходит в режим высокой загрузки (Exhausted mode). Находясь в этом режиме, коммутатор может выполнять одно из следующих действий для уменьшения загрузки ЦПУ: * прекратить получение всех ARP-пакетов и широковещательных IP-пакетов (при работе функции в строгом режиме (strict mode)); * ограничить полосу пропускания для получаемых ARP-пакетов и широковещательных IP-пакетов путем ее динамического изменения (при работе функции в нестрогом режиме (fuzzy mode)). При нормализации работы сети и снижении количества нежелательных пакетов до установленного нижнего порогового значения Falling Threshold коммутатор выйдет из режима высокой загрузки и механизм Safeguard Engine перестанет функционировать. Следует отметить, что при переключении коммутатора в режим Exhausted могут возникать следующие побочные эффекты. * При работе функции Safeguard Engineв строгом режиме будет невозможно осуществлять административный доступ к коммутатору уровня 2, так как этот режим предусматривает отбрасывание всех ARP-запросов, поступающих на интерфейс ЦПУ. Для решения этой проблемы в статической ARP-таблице управляющей рабочей станции можно создать запись, связывающую MAC-адрес коммутатора с IP-адресом его интерфейса управления. В этом случае рабочей станции не потребуется отправлять ARP-запрос коммутатору. * При работе функции Safeguard Engine в строгом режиме на коммутаторе уровня 3, помимо невозможности административного доступа также может быть нарушена маршрутизация между подключенными к нему подсетями, так как будут отбрасываться ARP-запросы, поступающие не только на интерфейс ЦПУ, но и на IP-интерфейсы коммутатора. * Преимуществом нестрогого режима работы функции Safeguard Engine является то, что в нем не просто отбрасываются все ARP-пакеты или широковещательные IP-пакеты, а динамически изменяется полоса пропускания для них. Таким образом, даже при серьезной вирусной эпидемии коммутатор уровня 2/3 будет доступен по управлению, а коммутатор уровня 3, в том числе, сможет обеспечивать маршрутизацию между подсетями. Пример настройки функции Safeguard Engine В качестве примера использования функции Safeguard Engine рассмотрим ситуацию, когда одна из рабочих станций, подключенных к коммутатору, постоянно рассылает ARP-пакеты с очень высокой скоростью. Загрузка ЦПУ коммутатора при этом меняется от нормальной до 90%. При устранении причины, вызвавшей лавинную генерацию ARP-пакетов на рабочей станции, загрузка ЦПУ снизится до нормы. Для защиты ЦПУ от подобных ситуаций и снижения его загрузки, на коммутаторе можно настроить функцию Safeguard Engine. Настройка коммутатора Активизировать функцию Safeguard Engine. config safeguard_engine state enable Задать нижнее и верхнее пороговые значения (указываются значения в процентах от загрузки ЦПУ), при которых будет происходить переключение между нормальным режимом работы и режимом Exhausted, и указать режим работы функции. config safeguard_engine utilization rising 40 falling 25 mode strict Функция CPU Interface Filtering Стандартные списки управления доступом выполняют фильтрацию трафика входящего/исходящего через порты на аппаратном уровне и не могут фильтровать потоки данных, предназначенные для обработки на ЦПУ, например, запросы ICMP, отправляемые на IP-адрес управления коммутатором. В случае возникновения большого количества таких пакетов, производительность коммутатора может сильно снизиться из-за высокой загрузки ЦПУ. Функция''' CPU Interface Filtering, 'поддерживаемая на старших моделях коммутаторов D-Link, является еще одним решением, позволяющим ограничивать пакеты, поступающие для обработки на ЦПУ путем фильтрации нежелательного трафика на программном уровне. Функция CPU Interface Filtering представляет собой списки управления доступом к интерфейсу ЦПУ и обладает аналогичными стандартным ACL принципами работы и конфигурации. Несмотря на то, что функция CPU Interface Filtering позволяет контролировать и фильтровать нежелательный трафик, для своей работы она использует центральный процессор. В случае сильной атаки, центральный процессор будет использовать все свои ресурсы для фильтрации вредоносного трафика, что приведет к снижению производительность коммутатора. Поэтому для уменьшения влияния сетевых атак на ЦПУ коммутатора рекомендуется настраивать обе функции - Safeguard Engine и CPU InterfaceFiltering. Пример настройки функции CPU Interface Filtering Многоадресная рассылка IP-адресация многоадресной рассылки МАС-адреса групповой рассылки Подписка и обслуживание групп Управление многоадресной рассылкой на 2-м уровне модели OSI (IGMP Snooping) Пример настройки IGMP Snooping Функция IGMP Snooping Fast Leave Пример настройки IGMP Snooping Fast Leave Функции управления коммутаторами Управление множеством коммутаторов Объединение коммутаторов в физический стек Виртуальный стек. Технология Single IP Management (SIM) Протокол SNMP Компоненты SNMP База управляющей информации SNMP Типы сообщений протокола SNMP Безопасность SNMP Пример настройки протокола SNMP RMON (Remote Monitoring) Функция Port Mirroring Обзор коммутаторов D-Link Неуправляемые коммутаторы Неуправляемые коммутаторы (''Unmanaged 'Switches) D-Link предназначены для развертывания сетей небольших рабочих групп или домашних сетей (SOHO, Small-Office-Home-Office). Также их можно использовать на уровне доступа сетей малых предприятий. Эти коммутаторы просты в установке и поддерживают (в зависимости от модели) такие функции, как Plug and Play, диагностика кабеля, управление потоком (IEEE 802.3х), автоматическое определение полярности кабелей (MDI/MDIX), возможность передачи Jumbo-фреймов и приоритизацию трафика. Технологии Green Ethernet и энергоэффективный Ethernet (IEEE 802.3az Energy-Efficient Ethernet, EEE) позволяют снизить электропотребление коммутаторов. Поддержка передачи питания через Ethernet (IEEE 802.3at-2009) позволяет использовать коммутаторы для питания устройств, расположенных в труднодоступных местах или при отсутствии требуемого количества электрических розеток. Неуправляемые коммутаторы не поддерживают функции управления и обновления программного обеспечения. Рис. 10.1. Неуправляемые коммутаторы D-Link в сети небольшой рабочей группы Неуправляемые коммутаторы D-Link представлены сериями DES-10xxА, DES-10xxС, DES-10xxD, DES-10xxP, DES-10xxG, DGS-10xxA, DGS-10xxC, DGS-10xxD и DGS-10xxP. Серии DES-10ххА, DES-10xxС и DES-10ххD состоят из экономичных неуправляемых коммутаторов с различным количеством портов 10/100 Мбит/с (от 5 до 24) в настольном и стоечном исполнении. Рис. 10.2. Коммутатор DES-1016А Серии DGS-10xxA, DGS-10xxC и DGS-10xxD включают в себя модели неуправляемых коммутаторов Gigabit Ethernet с различным количеством портов 10/100/1000Мбит/с (от 5 до 24), выполненные в настольном и стоечном исполнении. Коммутаторы DES-1005D/1008D, DES-1016A, DES-1005P, DGS-1005D/1008D, DGS-1005A/1008A, DGS-1008P поддерживают стандарт IEEE 802.1р и четыре аппаратных очереди приоритетов на каждом физическом порте. Коммутаторы DES-1026G/1050G, DES-1018P/1018MP оборудованы двумя комбо-портами 1000BASE-T/SFP, что обеспечивает гибкость при подключении к магистрали сети. В неуправляемых коммутаторах DES-1005P, DES-1018P, DES-1018MP и DGS-1008P поддерживается передача питания через медные порты Ethernet по стандарту IEEE 802.3af, в коммутаторе DES-1008P+ - по стандарту IEEE 802.3at-2009. Коммутатор DES-1018MP обладает повышенным энергетическим потенциалом, позволяющим осуществлять питание IP-камер с функциями поворота, ИК-подсветкой, со встроенными нагревателями и вентиляторами. Практически все серии неуправляемых коммутаторов поддерживают энергосберегающие технологии Green Ethernet и энергоэффективный Ethernet (EEE). Обе технологии позволяют сократить расходы на электроэнергию, при этом, не оказывая влияния на производительность и функциональность устройств. Технология ЕЕЕ автоматически уменьшает потребление энергии в то время, когда по каналам связи не ведется передача данных. Технология D-Link Green включает ряд функций, которые помогают регулировать потребление электроэнергии, основываясь на определении состояния канала связи и длины кабеля. Когда коммутатор с поддержкой этой технологии определяет, что питание подключенного к нему компьютера отключено, то переводит соответствующий порт в режим сохранения энергии (power standby mode). Также коммутатор может регулировать энергопотребление путем анализа длины кабеля Ethernet. Так как в большинстве случаев для подключения пользователей домашних/офисных сетей используются кабели длиной менее 20 м, энергопотребление может быть снижено до 80%, благодаря чему коммутаторы выделяют меньше тепла, что увеличивает срок эксплуатации устройства и снижает расходы. Также данная технология подразумевает использование материалов, не наносящих вред окружающей среде. В коммутаторах DGS-1005A/1008A, DGS-1005D/1008D реализована поддержка функции диагностики кабеля (Cable Diagnostic). Эта функция позволяет пользователям определять состояние кабеля по индикаторам, расположенным на передней панели коммутатора. С помощью нее можно определить следующие повреждения кабеля: *разомкнутая цепь (Open Circuit) – оборвана жила кабеля Ethernet или кабель не подключен; *короткое замыкание (Short Circuit) – короткое замыкание пары кабеля (два проводника касаются друг друга); *неправильная терминация кабеля (Improper Termination) – сопротивление между кабелем и его разъемом не совпадает или сопротивление больше чем 100 Ом. Рис. 10.3. Функция диагностики кабеля Функция диагностики кабеля сканирует все порты Ethernet и определяет состояние каждого подключенного кабеля. Во время этого процесса индикатор каждого порта последовательно мигает зеленым светом. Первоначальное сканирование порта требует около 10 секунд. Если обнаруживается повреждение кабеля, индикатор соответствующего порта будет мигать желтым светом около 5 секунд. Далее коммутатор автоматически перезагрузится и продолжит работу в обычном режиме. Этот процесс займет около 2-х секунд. Коммутаторы серии Smart Управляемые коммутаторы Category:Browse